3 de mayo de 2018 vRealize Automation 7 - docs.vmware.com · 3 de mayo de 2018 vRealize Automation...

Guía de configuraciónsegura3 de mayo de 2018vRealize Automation 7.4

Guía de configuración segura

VMware, Inc. 2

Puede encontrar la documentación técnica más actualizada en el sitio web de VMware en:

https://docs.vmware.com/es/

Si tiene algún comentario sobre esta documentación, envíelo a la siguiente dirección de correo electrónico:

[email protected]

Copyright © 2015–2018 VMware, Inc. Todos los derechos reservados. Copyright e información de marca registrada.

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

VMware, Inc.Paseo de la Castellana 141. Planta 8.28046 Madrid.Tel.:+ 34 91 418 58 01Fax: + 34 91 418 50 55www.vmware.com/es

https://docs.vmware.com/es/

mailto:[email protected]

http://pubs.vmware.com/copyright-trademark.html

Contenido

1 Configuración segura 5

2 Descripción general de la línea de base segura de vRealize Automation 6

3 Comprobar la integridad de los medios de instalación 8

4 Proteger la infraestructura de software del sistema de VMware 9

Proteger el entorno de VMware vSphere ®

9

Proteger el host de infraestructura como servicio 9

Proteger Microsoft SQL Server 10

Proteger Microsoft .NET 10

Proteger Microsoft Internet Information Services (IIS) 10

5 Revisar el software instalado 12

6 Avisos de seguridad y revisiones de VMware 13

7 Configuración segura 14

Proteger el dispositivo de vRealize Automation 14

Cambiar la contraseña raíz 14

Comprobar la complejidad y el hash de la contraseña raíz 15

Comprobar historial de contraseñas raíz 16

Administrar la caducidad de las contraseñas 16

Administrar Secure Shell y cuentas administrativas 17

Cambiar el usuario de la interfaz de administración de dispositivos virtuales 22

Configurar la autenticación del cargador de arranque 23

Configurar NTP 23

Configurar TLS para datos en tránsito del dispositivo de vRealize Automation 24

Comprobar la seguridad de datos en reposo 33

Configurar recursos de aplicación de vRealize Automation 34

Personalizar configuración de proxy de la consola 37

Configurar encabezados de respuesta de servidor 39

Establecer el tiempo de espera de sesión de Dispositivo de vRealize Automation 40

Administrar software no esencial 41

Proteger el componente de infraestructura como servicio 45

Deshabilitar el servicio Hora de Windows 45

Configurar TLS para datos en tránsito de infraestructura como servicio 46

Configurar conjuntos de cifrados TLS 48

VMware, Inc. 3

Comprobar seguridad del servidor host 48

Proteger recursos de aplicación 49

Proteger la máquina host de infraestructura como servicio 50

8 Configurar la seguridad de la red del host 51

Configurar ajustes de red para dispositivos de VMware 51

Evitar el control de usuario de las interfaces de red 51

Establecer el tamaño de cola de trabajo pendiente de TCP 52

Denegar ecos de ICMPv4 a direcciones de difusión 52

Deshabilitar ARP de proxy de IPv4 53

Denegar mensajes de redirección de ICMP IPv4 53

Denegar mensajes de redirección de ICMP IPv6 54

Registrar paquetes de datos con marcadores sospechosos IPv4 55

Utilizar el filtrado de rutas inversas IPv4 55

Denegar reenvío de IPv4 56

Denegar el reenvío de IPv6 57

Usar cookies SYN de TCP IPv4 57

Denegar anuncios de enrutador IPv6 58

Denegar solicitudes de enrutador IPv6 59

Denegar la preferencia de enrutador IPv6 en solicitudes de enrutador 60

Denegar prefijos de enrutador IPv6 60

Denegar opciones de límite de saltos de anuncio de enrutador IPv6 61

Denegar opciones de configuración automática de anuncios de enrutador IPv6 62

Denegar solicitudes de vecino de IPv6 63

Restringir la cantidad máxima de direcciones IPv6 63

Configurar ajustes de red para el host de infraestructura como servicio 64

Configurar puertos y protocolos 64

Puertos de usuario necesarios 65

Puertos de administrador necesarios 65

9 Auditoría y registro 68


VMware, Inc. 4

Configuración segura 1Configuración segura permite a los usuarios evaluar y optimizar la configuración segura de lasimplementaciones de vRealize Automation.

Configuración segura describe la verificación y la configuración de implementaciones seguras deentornos de vRealize Automation típicos. Además, proporciona información y procedimientos paraayudar a los usuarios a tomar decisiones informadas sobre la configuración de seguridad.

Público objetivoEsta información está destinada a los administradores del sistema de vRealize Automation y otrosusuarios que son responsables de la configuración y el mantenimiento de la seguridad del sistema.

Glosario de publicaciones técnicas de VMwareEl departamento de Publicaciones técnicas de VMware ofrece un glosario con términos que quizá usteddesconozca. Para consultar las definiciones de términos tal como se utilizan en la documentación técnicade VMware, visite http://www.vmware.com/es/support/pubs.

VMware, Inc. 5

http://www.vmware.com/support/pubs

Descripción general de la líneade base segura devRealize Automation 2VMware proporciona recomendaciones integrales para permitirle comprobar y configurar una línea debase segura para el sistema de vRealize Automation.

Utilice las herramientas y los procedimientos adecuados, según lo especifica VMware, para comprobar ymantener una configuración de línea de base segura y protegida para el sistema devRealize Automation. Algunos componentes de vRealize Automation están instalados en un estadoprotegido o parcialmente protegido, pero debería verificar la configuración de cada componente enfunción de las recomendaciones de seguridad de VMware, las políticas de seguridad de la empresa y lasamenazas conocidas.

Posición de seguridad de vRealize AutomationLa posición de seguridad de vRealize Automation supone un entorno seguro en general, con base en laconfiguración del sistema y la red, las políticas de seguridad de la organización y los procedimientosrecomendados de seguridad.

Al comprobar y configurar la protección de un sistema de vRealize Automation, tenga en cuenta cadauna de las siguientes áreas de acuerdo con las recomendaciones de protección de VMware.

n Implementación segura

n Configuración segura

n Seguridad de red

Para asegurarse de que su sistema está realmente protegido, tenga en cuenta las recomendaciones deVMware y las políticas de seguridad locales que se relacionan con cada una de estas áreasconceptuales.

Componentes del sistemaAl pensar en la protección y en la configuración segura del sistema de vRealize Automation, asegúresede que conoce todos los componentes y comprende cómo funcionan juntos para respaldar lafuncionalidad del sistema.

Tenga en cuenta los siguientes componentes al planificar e implementar un sistema seguro.

n Dispositivo de vRealize Automation

VMware, Inc. 6

n Componente de IaaS

Para familiarizarse con vRealize Automation y saber cómo se complementan los componentes, consulteFundamentos y conceptos en el centro de documentación de vRealize Automation de VMware. Paraobtener información sobre las implementaciones y la arquitectura típicas de vRealize Automation,consulte Arquitectura de referencia.


VMware, Inc. 7

Comprobar la integridad de losmedios de instalación 3Los usuarios siempre deben comprobar la integridad de los medios de instalación antes de instalar unproducto de VMware.

Revise siempre el hash SHA1 después de descargar una ISO, un paquete sin conexión o una revisiónpara garantizar la integridad y la autenticidad de los archivos descargados. Si obtiene los soportes físicosde VMware y el sello de seguridad está roto, devuelva el software a VMware para su reemplazo.

Después de descargar los medios, utilice el valor de suma MD5/SHA1 para comprobar la integridad de ladescarga. Compare la salida del hash MD5/SHA1 con el valor publicado en el sitio web de VMware. Elhash SHA1 o MD5 debe coincidir.

Para obtener más información acerca de cómo comprobar la integridad de los medios de instalación,consulte http://kb.vmware.com/kb/1537.

VMware, Inc. 8

https://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1537

Proteger la infraestructura desoftware del sistema de VMware 4Como parte del proceso de protección, evalúe la infraestructura de software implementada que admite elsistema de VMware y compruebe que cumpla con las directrices de protección de VMware.

Antes de proteger el sistema de VMware, revise y solucione las deficiencias de seguridad en lainfraestructura del software de apoyo para crear un entorno totalmente protegido. Los elementos de lainfraestructura de software que se deben considerar incluyen componentes del sistema operativo,software de apoyo y software de base de datos. Solucione los problemas de seguridad en estos y enotros componentes de acuerdo con las recomendaciones del fabricante y otros protocolos de seguridadpertinentes.

Este capítulo cubre los siguientes temas:

n Proteger el entorno de VMware vSphere ®

n Proteger el host de infraestructura como servicio

n Proteger Microsoft SQL Server

n Proteger Microsoft .NET

n Proteger Microsoft Internet Information Services (IIS)

Proteger el entorno de VMware vSphere ®

Evalúe el entorno de VMware vSphere ® y compruebe que se aplique y se mantenga el nivel apropiadode instrucciones de protección de vSphere.

Para obtener más instrucciones relacionadas con la protección, consulte http://www.vmware.com/security/hardening-guides.html .

Como parte de un entorno totalmente protegido, la infraestructura de VMware vSphere ® debe cumplircon las directrices de seguridad que VMware define.

Proteger el host de infraestructura como servicioCompruebe que la máquina host de Microsoft Windows de infraestructura como servicio esté protegidasegún las directrices de VMware.

VMware, Inc. 9

http://www.vmware.com/security/hardening-guides.html

Revise las recomendaciones establecidas en las directrices apropiadas de procedimientosrecomendados seguros y de protección de Microsoft Windows, y asegúrese de que el host de WindowsServer esté protegido correctamente. Si no se siguen las recomendaciones de protección, puede quedarexpuesto a vulnerabilidades de seguridad conocidas de los componentes inseguros de las versiones deWindows.

Para comprobar que la versión es compatible, consulte la matriz de soporte de vRealize Automation.

Pregunte a su proveedor de Microsoft acerca de las directrices correctas de los procedimientos deprotección de los productos de Microsoft.

Proteger Microsoft SQL ServerCompruebe que la base de datos de Microsoft SQL Server cumpla con las directrices de seguridadestablecidas por Microsoft y VMware.

Revise las recomendaciones establecidas en las directrices apropiadas de procedimientosrecomendados seguros y de protección de Microsoft SQL Server. Revise todos los boletines deseguridad de Microsoft con respecto a la versión instalada de Microsoft SQL Server. Si no sigue lasrecomendaciones de protección, puede quedar expuesto a vulnerabilidades de seguridad conocidas delos componentes inseguros de las versiones de Microsoft SQL Server.

Para comprobar que se admite la versión de Microsoft SQL Server, consulte la matriz de soporte devRealize Automation.

Póngase en contacto con el proveedor de Microsoft para obtener consejos sobre la prácticas deprotección de los productos de Microsoft.

Proteger Microsoft .NETComo parte de un entorno totalmente protegido, Microsoft .NET debe cumplir con las directrices deseguridad establecidas por Microsoft y VMware.

Revise las recomendaciones establecidas en las directrices apropiadas de procedimientosrecomendados seguros y de protección de .NET. Además, revise todos los boletines de seguridad deMicrosoft sobre la versión de Microsoft SQL Server que está utilizando. Si no se siguen lasrecomendaciones de protección, puede quedar expuesto a vulnerabilidades de seguridad conocidas delos componentes inseguros de Microsoft.NET.

Para comprobar que su versión de Microsoft.NET es compatible, consulte la matriz de soporte devRealize Automation.

Póngase en contacto con su proveedor de Microsoft para obtener consejos sobre las prácticas deprotección de los productos de Microsoft.

Proteger Microsoft Internet Information Services (IIS)Compruebe que Microsoft Internet Information Services (IIS) cumpla con todas las directrices deseguridad de Microsoft y de VMware.


VMware, Inc. 10

https://www.vmware.com/pdf/vrealize-automation-70-support-matrix.pdf





Revise las recomendaciones establecidas en las directrices apropiadas de procedimientosrecomendados seguros y de protección de Microsoft IIS. Además, revise todos los boletines deseguridad de Microsoft sobre la versión de IIS que está utilizando. Si no se siguen las recomendacionesde protección, puede quedar expuesto a vulnerabilidades de seguridad conocidas.

Para comprobar que la versión es compatible, consulte la matriz de soporte de vRealize Automation.

Póngase en contacto con su proveedor de Microsoft para obtener consejos sobre las prácticas deprotección de los productos de Microsoft.


VMware, Inc. 11


Revisar el software instalado 5Debido a que las vulnerabilidades del software de terceros y del software no utilizado aumentan el riesgode accesos no autorizados al sistema y de interrupciones de disponibilidad, es importante revisar todo elsoftware instalado en las máquinas host de VMware y evaluar su uso.

No instale ningún software que no sea necesario para el funcionamiento seguro del sistema en lasmáquinas host de VMware. Desinstale el software irrelevante o que no se utiliza.

Realizar un inventario del software instalado nocompatibleEvalúe la implementación de VMware y realice un inventario de los productos instalados para asegurarsede que no se haya instalado ningún software irrelevante y no compatible.

Para obtener más información acerca de las políticas de soporte para productos de terceros, consulte elartículo de soporte de VMware, en https://www.vmware.com/support/policies/thirdparty.html.

Comprobar el software de tercerosVMware no admite ni recomienda la instalación de software de terceros que no se haya probado yverificado. El software de terceros no seguro, no revisado o sin autenticar que se instale en las máquinashost de VMware puede causar accesos no autorizados e interrupción de la disponibilidad. Si debe usarsoftware de terceros no compatible, pida al proveedor externo la configuración segura y los requisitos derevisiones.

VMware, Inc. 12

https://www.vmware.com/support/policies/thirdparty.html

Avisos de seguridad y revisionesde VMware 6Para mantener la máxima seguridad en el sistema, siga los avisos de seguridad de VMware y apliquetodas las revisiones correspondientes.

VMware publica avisos de seguridad relacionados con los productos. Supervise estos avisos paraasegurarse de que su producto está protegido contra las amenazas conocidas.

Evalúe la instalación, las revisiones y el historial de actualizaciones de vRealize Automation, ycompruebe que los avisos de seguridad de VMware publicados se sigan y se apliquen.

Para obtener más información sobre los avisos de seguridad de VMware actuales, consulte http://www.vmware.com/security/advisories/.

VMware, Inc. 13

http://www.vmware.com/security/advisories.html

Configuración segura 7Compruebe y actualice la configuración de seguridad de los dispositivos virtuales devRealize Automation y del componente de infraestructura como servicio según corresponda para laconfiguración del sistema. Asimismo, compruebe y actualice la configuración de otros componentes yaplicaciones.

La configuración segura de una instalación de vRealize Automation implica abordar la configuración decada componente de forma individual y cuando están trabajando juntos. Considere la configuración delos componentes de todos los sistemas en conjunto para lograr una línea de base razonablementesegura.


n Proteger el dispositivo de vRealize Automation

n Proteger el componente de infraestructura como servicio

Proteger el dispositivo de vRealize AutomationCompruebe y actualice la configuración de seguridad del dispositivo de vRealize Automation comocorresponda para la configuración del sistema.

Configure los ajustes de seguridad para los dispositivos virtuales y sus sistemas operativos host.Además, establezca o compruebe la configuración de aplicaciones y componentes relacionadosadicionales. En algunos casos, debe comprobar la configuración existente, mientras que en otros casosdebe cambiar o agregar valores para realizar la configuración de forma adecuada.

Cambiar la contraseña raízPuede cambiar la contraseña raíz para que Dispositivo de vRealize Automation cumpla con los requisitosde seguridad correspondientes.

Cambie la contraseña raíz en el Dispositivo de vRealize Automation mediante la interfaz deadministración de dispositivos virtuales. Compruebe que la contraseña raíz cumpla con los requisitos decomplejidad de contraseña corporativa de la organización.

Procedimiento

1 Abra la interfaz de administración de dispositivos virtuales de Dispositivo de vRealize Automation.

https://vRealizeAppliance-url:5480

VMware, Inc. 14

2 Seleccione la pestaña Administración en la interfaz de administración de dispositivos virtuales.

3 Seleccione el submenú Administración.

4 Introduzca la contraseña existente en el cuadro de texto Contraseña de administrador actual.

5 Introduzca la nueva contraseña en el cuadro de texto Contraseña de administrador nueva.

6 Introduzca la nueva contraseña en el cuadro de texto Volver a escribir la nueva contraseña deadministrador.

7 Haga clic en Guardar configuración para guardar los cambios.

Comprobar la complejidad y el hash de la contraseña raízCompruebe que la contraseña raíz cumpla con los requisitos de complejidad de contraseña corporativade la organización.

Es necesario validar la complejidad de la contraseña raíz debido a que el usuario raíz sortea lacomprobación de complejidad de la contraseña del módulo pam_cracklib que se aplica a las cuentas deusuario.

La contraseña de la cuenta debe comenzar con $6$, lo que indica un hash sha512. Este es el hashestándar para todos los dispositivos protegidos.

Procedimiento

1 Para comprobar el hash de la contraseña raíz, inicie sesión como usuario raíz y ejecute el comando# more /etc/shadow.

Se muestra la información del hash.

Figura 7‑1. Resultados del hash de la contraseña

2 Si la contraseña raíz no contiene un hash sha512, ejecute el comando passwd para cambiarla.

Todos los dispositivos protegidos habilitan enforce_for_root en el módulo pw_history, que seencuentra en el archivo etc/pam.d/common-password. El sistema recuerda las últimas cincocontraseñas de forma predeterminada. Las contraseñas antiguas de cada usuario se almacenan en elarchivo /etc/securetty/passwd.


VMware, Inc. 15

Comprobar historial de contraseñas raízCompruebe que el historial de contraseñas se aplique a la cuenta raíz.

Todos los dispositivos protegidos habilitan enforce_for_root en el módulo pw_history, que seencuentra en el archivo etc/pam.d/common-password. El sistema recuerda las últimas cincocontraseñas de forma predeterminada. Las contraseñas antiguas de cada usuario se almacenan en elarchivo /etc/securetty/passwd.

Procedimiento

1 Ejecute el siguiente comando:

cat /etc/pam.d/common-password-vmware.local | grep pam_pwhistory.so

2 Asegúrese de que enforce_for_root aparezca en los resultados devueltos.

password required pam_pwhistory.so enforce_for_root remember=5 retry=3

Administrar la caducidad de las contraseñasConfigure la caducidad de todas las contraseñas de cuenta en conformidad con las políticas deseguridad de la organización.

De forma predeterminada, todas las cuentas del dispositivo virtual protegido de VMware definen lacaducidad de contraseña en 60 días. En la mayoría de los dispositivos protegidos, la caducidad de lacontraseña de la cuenta raíz es de 365 días. Se recomienda comprobar que la fecha de caducidad detodas las cuentas cumpla con los estándares de requisitos de seguridad y funcionamiento.

Si la contraseña raíz caduca, no podrá reactivarla. Debe implementar políticas específicas de sitio paraevitar que las contraseñas administrativas y de usuario raíz caduquen.

Procedimiento

1 Inicie sesión en las máquinas del dispositivo virtual como usuario raíz y ejecute el siguiente comandopara comprobar la caducidad de contraseña en todas las cuentas.

# cat /etc/shadow

La caducidad de contraseña es el quinto campo del archivo de sombra (los campos están separadospor dos puntos). La caducidad de la raíz se establece en días.


VMware, Inc. 16

Figura 7‑2. Campo de caducidad de contraseña

2 Para modificar la caducidad de la cuenta raíz, ejecute un comando con el siguiente formato.

# passwd -x 365 root

En este comando, 365 especifica el número de días que deben transcurrir antes de que caduque lacontraseña. Puede utilizar el mismo comando para modificar cualquier usuario. Tan solo debesustituir "root" por la cuenta específica y reemplazar el número de días para cumplir con losestándares de caducidad de la organización.

Administrar Secure Shell y cuentas administrativasPara las conexiones remotas, todos los dispositivos protegidos incluyen el protocolo Secure Shell (SSH).Utilice SSH solo cuando sea necesario y adminístrelo correctamente para mantener la seguridad delsistema.

SSH es un entorno de línea de comandos interactivo que admite conexiones remotas con los dispositivosvirtuales de VMware. De forma predeterminada, el acceso a SSH requiere credenciales de cuenta deusuario con privilegios elevados. Por lo general, las actividades de SSH del usuario raíz sortean elcontrol de acceso basado en funciones (role-based access control, RBAC) y los controles de auditoría delos dispositivos virtuales.

Se recomienda deshabilitar SSH en un entorno de producción y habilitarlo solo para solucionar losproblemas que no se puedan resolver por otros medios. Manténgalo habilitado solo mientras seanecesario para un propósito específico y en conformidad con las políticas de seguridad de laorganización. En el dispositivo de vRealize Automation, SSH está deshabilitado de formapredeterminada. En función de la configuración de vSphere, puede habilitar o deshabilitar SSH alimplementar la plantilla de Open Virtualization Format (OVF).

Para determinar de manera sencilla si SSH está habilitado en una máquina, intente abrir una conexiónmediante SSH. Si la conexión se abre y se solicitan credenciales, SSH está habilitado y disponible paralas conexiones.


VMware, Inc. 17

Cuenta de usuario raíz de Secure ShellDebido a que los dispositivos de VMware no incluyen cuentas de usuario preconfiguradas, la cuenta raízpuede usar SSH para iniciar sesión directamente de forma predeterminada. Deshabilite SSH comousuario raíz tan pronto como sea posible.

Para cumplir con los estándares de cumplimiento de manera que no haya rechazo, el servidor SSH detodos los dispositivos protegidos está preconfigurado con la entrada de wheel AllowGroups pararestringir el acceso SSH al wheel del grupo secundario. Para separar las obligaciones, puede modificar laentrada de wheel AllowGroups en el archivo /etc/ssh/sshd_config para usar otro grupo, como sshd.

El grupo wheel está habilitado con el módulo pam_wheel para acceso de superusuarios, de modo que losmiembros de grupo wheel puedan usar el comando su-root, en el que se requiere la contraseña raíz. Laseparación de grupos permite a los usuarios utilizar SSH en el dispositivo, pero no el comando su to root.Para garantizar el correcto funcionamiento del dispositivo, no quite ni modifique otras entradas del campoAllowGroups. Después de realizar un cambio, debe reiniciar el daemon SSH ejecutando el comando #service sshd restart.

Habilitar o deshabilitar Secure Shell en los dispositivos devRealize AutomationHabilite Secure Shell (SSH) en el dispositivo de vRealize Automation solo para solucionar problemas.Deshabilite SSH en estos componentes durante la operación normal de producción.

Puede habilitar o deshabilitar SSH en el dispositivo de vRealize Automation mediante la consola deadministración de dispositivos virtuales.

Procedimiento

1 Desplácese hasta la consola de administración de dispositivos virtuales del dispositivo devRealize Automation.

: https://vRealizeAppliance url:5480

2 Haga clic en la pestaña Administración.

3 Haga clic en el submenú Administración.

4 Active la casilla de verificación Habilitar servicio SSH para habilitar SSH o desactívela paradeshabilitar SSH.

5 Haga clic en Guardar configuración para guardar los cambios.

Crear una cuenta de administrador local para Secure ShellComo procedimiento de seguridad recomendado, cree y configure cuentas administrativas locales deSecure Shell (SSH) en las máquinas host del dispositivo virtual. Además, también se recomienda quitarel acceso SSH raíz después de crear las cuentas apropiadas.

Cree cuentas administrativas locales para SSH o miembros del grupo wheel secundario, o ambos. Antesde deshabilitar el acceso directo a la raíz, compruebe que los administradores autorizados puedanacceder a SSH usando AllowGroups y que puedan recurrir a su to root utilizando el grupo wheel.


VMware, Inc. 18

Procedimiento

1 Inicie sesión en el dispositivo virtual como usuario raíz y ejecute los siguientes comandos con elnombre de usuario adecuado.

# useradd -g users <username> -G wheel -m -d /home/username

# passwd username

Wheel es el grupo especificado en AllowGroups para el acceso a SSH. Para agregar varios grupossecundarios, utilice -G wheel,sshd.

2 Cambie al usuario y proporcione una contraseña nueva para aplicar la comprobación de complejidadde contraseña.

# su –username

# username@hostname:~>passwd

Si se cumple con la complejidad de contraseña, la contraseña se actualiza. Si no se cumple con lacomplejidad de contraseña, se revierte a la contraseña original, y debe volver a ejecutar el comandode contraseña.

3 Para quitar el inicio de sesión directo en SSH, modifique el archivo /etc/ssh/sshd_configreemplazando (#)PermitRootLogin yes por PermitRootLogin no.

Opcionalmente, se puede habilitar o deshabilitar SSH en la interfaz de administración de dispositivosvirtuales (VAMI) activando o desactivando la casilla de verificación Inicio de sesión de SSH deadministrador habilitado en la pestaña Administración.

Qué hacer a continuación

Deshabilite los inicios de sesión directos como raíz. De forma predeterminada, los dispositivos protegidospermiten realizar el inicio de sesión directo como raíz mediante la consola. Después de crear cuentasadministrativas de manera que no haya rechazo y de probarlas para el acceso de wheel de su-root,deshabilite los inicios de sesión raíz directos editando el archivo /etc/security como usuario raíz yreemplazando la entrada tty1 por console.

1 Abra el archivo /etc/security en un editor de texto.

2 Busque tty1 y reemplácelo por console.

3 Guarde el archivo y ciérrelo.

Restringir el acceso a Secure ShellComo parte del proceso de protección del sistema, restrinja el acceso a Secure Shell (SSH) configurandocorrectamente el paquete tcp_wrappers en todas las máquinas host del dispositivo virtual de VMware.Mantenga también los permisos de archivo de claves de SSH necesarios en los dispositivos.


VMware, Inc. 19

Todos los dispositivos virtuales de VMware incluyen el paquete tcp_wrappers para que los daemonscompatibles con TCP puedan controlar las subredes de red que pueden acceder a los daemons enbibliotecas libwrap. De forma predeterminada, el archivo /etc/hosts.allow contiene una entradagenérica (Sshd: ALL : ALLOW) que permite el acceso total a Secure Shell. Restrinja este acceso segúncorresponda en su organización.

Procedimiento

1 En un editor de texto, abra el archivo /etc/hosts.allow en la máquina host del dispositivo virtual.

2 Cambie la entrada genérica en el entorno de producción para que incluya solo las entradas de hostlocal y la subred de la red de administración de operaciones seguras.

sshd:127.0.0.1 : ALLOW

sshd: [::1] : ALLOW

sshd: 10.0.0.0 :ALLOW

En este ejemplo, se permiten todas las conexiones de host local y las conexiones que los clientesestablecen en la subred 10.0.0.0.

3 Añada todos los datos de identificación de máquina necesarios; por ejemplo, el nombre de host, ladirección IP, el nombre de dominio completo (fully qualified domain name, FQDN) y el bucle invertido.


Proteger la configuración del servidor de Secure ShellSiempre que sea posible, todos los dispositivos de VMware tienen una configuración de protecciónpredeterminada. Los usuarios pueden comprobar si su configuración está protegida adecuadamenteexaminando la configuración del servicio del cliente y el servidor en la sección de opciones globales delarchivo de configuración.

Si es posible, restrinja el uso del servidor de SSH a una subred de administración en elarchivo /etc/hosts.allow.

Procedimiento

1 Abra el archivo de configuración del servidor /etc/ssh/sshd_config en el dispositivo de VMware ycompruebe que la configuración sea correcta.

Configuración Estado

Protocolo de daemon de servidor Protocol 2

Cifrados de CBC aes256-ctr y aes128-ctr

Reenvío de TCP AllowTCPForwarding no

Puertos de puerta de enlace de servidor Gateway Ports no

Reenvío de X11 X11Forwarding no

Servicio SSH Utilice el campo AllowGroups y especifique un acceso de grupo permitido.Agregue los miembros adecuados a este grupo.

Autenticación de GSSAPI GSSAPIAuthentication no, si no se utiliza.


VMware, Inc. 20


Autenticación Kerberos KeberosAuthentication no, si no se utiliza.

Variables locales (opción AcceptEnv global) Establecido como desactivado por conversión a comentario ohabilitado para las variables LC_* o LANG.

Configuración de túnel PermitTunnel no

Sesiones de red MaxSessions 1

Conexiones simultáneas de usuario Establecido como 1 para raíz y cualquier otro usuario. Elarchivo /etc/security/limits.conf también debe configurarse con losmismos ajustes.

Comprobación en modo estricto Strict Modes yes

Separación de privilegios UsePrivilegeSeparation yes

Autenticación RSA de rhosts RhostsESAAuthentication no

Compresión Compression delayed o Compression no

Código de autenticación de mensaje MACs hmac-sha1

Restricción de acceso de usuario PermitUserEnvironment no

2 Guarde los cambios y cierre el archivo.

Proteger la configuración del cliente de Secure ShellComo parte del proceso de protección del sistema, compruebe la protección del cliente de SSHexaminando el archivo de configuración del cliente de SSH en las máquinas host del dispositivo virtualpara asegurarse de que esté configurado según las directrices de VMware.

Procedimiento

1 Abra el archivo de configuración del cliente de SSH, /etc/ssh/ssh_config, y compruebe que laconfiguración en la sección de opciones globales sea correcta.


Protocolo de cliente Protocol 2

Puertos de puerta de enlace de cliente Gateway Ports no

Autenticación de GSSAPI GSSAPIAuthentication no

Variables locales (opción SendEnvglobal)

Proporcionar solo las variables LC_* o LANG

Cifrados de CBC Solo aes256-ctr y aes128-ctr

Códigos de autenticación de mensaje Solo en la entrada MACs hmac-sha1


Comprobar los permisos de archivo de claves de shell seguroPara minimizar la posibilidad de ataques malintencionados, mantenga los permisos de archivo de clavesSSH críticos en las máquinas host del dispositivo virtual.


VMware, Inc. 21

Después de ajustar o actualizar la configuración de SSH, asegúrese de comprobar que los siguientespermisos de archivo de claves de SSH no hayan cambiado.

n Los archivos de claves de host público ubicados en /etc/ssh/*key.pub son propiedad del usuarioraíz y tienen los permisos establecidos en 0644 (-rw-r--r--).

n Los archivos de claves de host privado ubicados en /etc/ssh/*key son propiedad del usuario raíz ytienen los permisos establecidos en 0600 (-rw------).

Comprobar los permisos de archivo de clave SSH

Compruebe que se aplican permisos de SSH a los archivos de clave tanto pública como privada.

Procedimiento

1 Ejecute el siguiente comando para comprobar los archivos de clave pública SSH: ls -l /etc/ssh/*key.pub

2 Compruebe que el propietario es root, que el propietario del grupo es root y que los archivos tienenlos permisos establecidos en 0644 (-rw-r--r--).

3 Ejecute los siguientes comandos para resolver los problemas que haya.

chown root /etc/ssh/*key.pub

chgrp root /etc/ssh/*key.pub

chmod 644 /etc/ssh/*key.pub

4 Ejecute el siguiente comando para comprobar los archivos de clave privada SSH: ls -l /etc/ssh/*key

5 Ejecute los siguientes comandos para resolver los problemas que haya.

chown root /etc/ssh/*key

chgrp root /etc/ssh/*key

chmod 644 /etc/ssh/*key

Cambiar el usuario de la interfaz de administración dedispositivos virtualesPuede añadir y eliminar usuarios en la interfaz de administración de dispositivos virtuales para lograr elnivel de seguridad adecuado.

La cuenta de usuario raíz de la interfaz de administración de dispositivos virtuales utiliza PAM para laautenticación, por lo que también se usan los niveles de recorte establecidos por PAM. Si la interfaz deadministración de dispositivos virtuales no se ha aislado correctamente, podría producirse un bloqueo dela cuenta raíz del sistema en caso de que un atacante trate de iniciar sesión mediante fuerza bruta.Además, cuando la cuenta raíz no sea suficiente para que no haya rechazo a través más de una personade la organización, habrá que cambiar el usuario administrador de la interfaz de administración.

Prerequisitos


VMware, Inc. 22

Procedimiento

1 Ejecute el siguiente comando para crear un usuario y añadirlo al grupo de interfaz de administraciónde dispositivos virtuales.

useradd -G vami,root usuario

2 Cree una contraseña para el usuario.

passwd usuario

3 (Opcional) Ejecute el siguiente comando para deshabilitar el acceso raíz en la interfaz deadministración de dispositivos virtuales.

usermod -R vami root

NOTA: Cuando se deshabilita el acceso raíz en la interfaz de administración de dispositivosvirtuales, también se deshabilita la posibilidad de actualizar la contraseña del administrador (o raíz)en la pestaña Administración.

Configurar la autenticación del cargador de arranquePara proporcionar un nivel de seguridad adecuado, configure la autenticación del cargador de arranqueen los dispositivos virtuales de VMware.

Si el cargador de arranque del sistema no requiere autenticación, los usuarios con acceso a la consoladel sistema pueden modificar la configuración de arranque del sistema o arrancar el sistema en el modode usuario único o de mantenimiento, lo que puede provocar la denegación de servicio o el acceso noautorizado al sistema. Debido a que la autenticación del cargador de arranque no se establece de formapredeterminada en los dispositivos virtuales de VMware, debe crear una contraseña GRUB paraconfigurarla.

Procedimiento

1 Para comprobar si existe una contraseña de arranque, busque la línea password --md5<password-hash> en el archivo /boot/grub/menu.lst en los dispositivos virtuales.

2 Si no existe ninguna contraseña, ejecute el comando # /usr/sbin/grub-md5-crypt en eldispositivo virtual.

Se genera una contraseña MD5 y el comando proporciona la salida del hash md5.

3 Añada la contraseña al archivo menu.lst; para ello, ejecute el comando # password --md5 <hashfrom grub-md5-crypt>.

Configurar NTPPara el aprovisionamiento de tiempo crítico, deshabilite la sincronización de hora del host y utilice elprotocolo de tiempo de redes (Network Time Protocol, NTP) en el dispositivo de vRealize Automation.


VMware, Inc. 23

El daemon de NTP en el dispositivo de vRealize Automation proporciona servicios de hora sincronizada.De forma predeterminada, NTP está deshabilitado, por lo que deberá configurarlo manualmente. Si esposible, utilice NTP en entornos de producción para realizar un seguimiento de las acciones del usuario ydetectar posibles intrusiones y ataques malintencionados mediante la auditoría y la generación de logsprecisas. Para obtener información sobre los avisos de seguridad de NTP, consulte el sitio web de NTP.

El archivo de configuración de NTP se encuentra en la carpeta /etc/ de cada dispositivo. Puedehabilitar el servicio de NTP para el dispositivo de vRealize Automation y añadir servidores horarios en lapestaña Administración de la interfaz de administración de dispositivos virtuales.

Procedimiento

1 Abra el archivo de configuración /etc/ntp.conf en un editor de texto de la máquina host deldispositivo virtual.

2 Establezca la propiedad del archivo en root:root.

3 Establezca los permisos en 0640.

4 Para reducir el riesgo de un ataque de amplificación por denegación de servicio en el servicio NTP,abra el archivo /etc/ntp.conf y asegúrese de que las líneas de restricción aparezcan en elarchivo.

restrict default kod nomodify notrap nopeer noquery

restrict -6 default kod nomodify notrap nopeer noquery

restrict 127.0.0.1

restrict -6 ::1

5 Guarde los cambios y cierre los archivos.

Configurar TLS para datos en tránsito del dispositivo devRealize AutomationAsegúrese de que la implementación de vRealize Automation use protocolos TLS seguros para protegerlos canales de transmisión de los componentes del dispositivo de vRealize Automation.

Por motivos de rendimiento, no se habilita TLS para las conexiones de localhost entre algunos serviciosde aplicación. Cuando una defensa más robusta sea una preocupación, habilite TLS en todas lascomunicaciones de localhost.

IMPORTANTE: Al finalizar TLS en el equilibrador de carga, deshabilite protocolos no seguros (comoSSLv2, SSLv3 y TLS 1.0) en todos los equilibradores de carga.

Habilitar TLS en la configuración de localhostDe manera predeterminada, algunas comunicaciones de localhost no utilizan TLS. Puede habilitar TLSen todas las conexiones de localhost para proporcionar una mayor seguridad.


VMware, Inc. 24

Procedimiento

1 Conéctese con el Dispositivo de vRealize Automation mediante SSH.

2 Defina permisos para el almacén de claves de vCAC mediante la ejecución de los siguientescomandos.

usermod -A vco,coredump,pivotal vco

chown vcac.pivotal /etc/vcac/vcac.keystore

chmod 640 /etc/vcac/vcac.keystore

3 Actualice la configuración de HAProxy.

a Abra el archivo de configuración de HAProxy ubicado en /etc/haproxy/conf.d y elija elservicio 20-vcac.cfg.

b Busque las líneas que contengan la siguiente cadena:

server local 127.0.0.1… y añada lo siguiente al final de estas líneas: ssl verify none

Esta sección contiene otras líneas como la siguiente: backend-horizon backend-vro

backend-vra backend-artifactory

backend-vra-health

c Cambie el puerto de backend-horizon de 8080 a 8443.

4 Obtenga la contraseña de keystorePass.

a Busque la propiedad certificate.store.password en elarchivo /etc/vcac/security.properties.

Por ejemplo, certificate.store.password=s2enc~iom0GXATG+RB8ff7Wdm4Bg==

b Descifre el valor con el siguiente comando:

vcac-config prop-util -d --p VALUE

Por ejemplo, vcac-config prop-util -d --p s2enc~iom0GXATG+RB8ff7Wdm4Bg==

5 Configure el servicio de vRealize Automation.

a Abra el archivo /etc/vcac/server.xml.

b Agregue el siguiente atributo a la etiqueta Connector, reemplazando certificate.store.passwordcon el valor de contraseña del almacén de certificados que se encuentra enetc/vcac/security.properties.

scheme=”https” secure=”true” SSLEnabled=”true” sslProtocol=”TLS”

keystoreFile=”/etc/vcac/vcac.keystore” keyAlias=”apache”

keystorePass=”certificate.store.password”


VMware, Inc. 25

6 Configure el servicio de vRealize Orchestrator.

a Abra el archivo /etc/vco/app-server.xml.

b Agregue el siguiente atributo a la etiqueta Connector, reemplazando certificate.store.passwordcon el valor de contraseña del almacén de certificados que se encuentra enetc/vcac/security.properties.

scheme=”https” secure=”true” SSLEnabled=”true” sslProtocol=”TLS”

keystoreFile=”/etc/vcac/vcac.keystore” keyAlias=”apache”

keystorePass=”certificate.store.password”

7 Reinicie los servicios de HAProxy, de vRealize Orchestrator y de vRealize Automation.

service vcac-server restart

service vco-server restart

service haproxy restart

NOTA: Si vco-server no se reinicia, reinicie el equipo host.

8 Configure la interfaz de administración de dispositivos virtuales.

a Abra el archivo /opt/vmware/share/htdocs/service/café-services/services.py.

b Para aumentar la seguridad, cambie la línea conn = httplib.HTTP() por conn =httplib.HTTPS().

Habilitar el cumplimiento con el Estándar federal de procesamiento deinformación (Federal Information Processing Standard, FIPS) 140-2El dispositivo de vRealize Automation ahora utiliza la versión de OpenSSL certificada por el FIPS 140-2para los datos en tránsito en TLS en todo el tráfico de red entrante y saliente.

Puede habilitar o deshabilitar el modo FIPS en la interfaz de administración del dispositivo devRealize Automation. También puede configurar el FIPS desde la línea de comandos después de iniciarsesión como raíz con los siguientes comandos:

vcac-vami fips enable

vcac-vami fips disable

vcac-vami fips status


VMware, Inc. 26

Si está habilitado, el tráfico de red entrante y saliente del Dispositivo de vRealize Automation en el puerto443 utiliza el cifrado que cumple con FIPS 140–2. Independientemente de la configuración de FIPS,vRealize Automation utiliza AES–256 para la protección de los datos almacenados en el dispositivo devRealize Automation.

NOTA: Actualmente, vRealize Automation solo habilita parcialmente el cumplimiento del estándar FIPSporque algunos componentes internos no utilizan todavía módulos criptográficos certificados. En loscasos en los que todavía no se hayan implementado módulos certificados, el cifrado basado en AES-256se utiliza en todos los algoritmos criptográficos.

NOTA: Con el siguiente procedimiento se reiniciará la máquina física cuando la configuración se altere.

Procedimiento

1 Inicie sesión como raíz en la interfaz de administración del dispositivo de vRealize Automation.

https:// vrealize-automation-appliance-FQDN:5480

2 Seleccione Configuración de vRA > Configuración del host.

3 Para habilitar o deshabilitar FIPS, haga clic en el botón que se encuentra debajo del encabezadoAcciones en la parte superior derecha.

4 Haga clic en Sí para reiniciar el dispositivo de vRealize Automation.

Comprobar que SSLv3, TLS 1.0 y TLS 1.1 estén deshabilitadosComo parte del proceso de protección, asegúrese de que la instancia implementada de Dispositivo devRealize Automation utiliza canales de transmisión seguros.

Prerequisitos

Complete el procedimiento Habilitar TLS en la configuración de localhost.


VMware, Inc. 27

Procedimiento

1 Compruebe que SSLv3, TLS 1.0 y TLS 1.1 estén deshabilitados en los controladores https deHAProxy en Dispositivo de vRealize Automation.

Revisar este archivo

Asegurarse de que losiguiente estépresente

Asegurarse de que esté en la línea adecuada talcomo se muestra

/etc/haproxy/conf.d/20-vcac.cfg no-sslv3 no-tlsv10 no-tls11 force-tls12

bind 0.0.0.0:443 ssl

crt /etc/apache2/server.pem ciphers !aNULL:!

eNULL:kECDH+AESGCM:ECDH+AESGCM:RSA

+AESGCM:kECDH+AES:ECDH+AES:RSA+AES:@STRENGTH

no-sslv3 no-tlsv10 no-tlsv11

/etc/haproxy/conf.d/30-vro-

config.cfg

no-sslv3 no-tlsv10 no-tls11 force-tls12

bind :::8283 v4v6 ssl

crt /opt/vmware/etc/lighttpd/server.pem

ciphers !aNULL:!eNULL:kECDH+AESGCM:ECDH

+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA

+AES:@STRENGTH no-sslv3 no-tlsv10 no-tlsv11

2 Reinicie el servicio.

service haproxy restart

3 Abra el archivo /opt/vmware/etc/lighttpd/lighttpd.conf y compruebe que aparezcan lasentradas de deshabilitación correctas.

NOTA: No hay ninguna directiva para deshabilitar TLS 1.0 o TLS 1.1 en Lighttpd. La restricción enel uso de TLS 1.0 y TLS 1.1 puede mitigarse parcialmente aplicando OpenSSL para que no utilice losconjuntos de cifrado de TLS 1.0 y TLS 1.1.

ssl.use-sslv2 = "disable"

ssl.use-sslv3 = "disable"

4 Compruebe que SSLv3, TLS 1.0 y TLS 1.1 estén deshabilitados para el proxy de la consola enDispositivo de vRealize Automation.

a Edite el archivo /etc/vcac/security.properties mediante la adición o la modificación de lasiguiente línea:

consoleproxy.ssl.server.protocols = TLSv1.2

b Reinicie el servidor ejecutando el siguiente comando:



VMware, Inc. 28

5 Compruebe que SSLv3, TLS 1.0 y TLS 1.1 estén deshabilitados para el servicio vCO.

a Busque la etiqueta <Connector> en el archivo /etc/vco/app-server/server.xml y agregueel siguiente atributo:

sslEnabledProtocols = "TLSv1.2"

b Ejecute el siguiente comando para reiniciar el servicio vCO.


6 Compruebe que SSLv3, TLS 1.0 y TLS 1.1 estén deshabilitados para el serviciovRealize Automation.

a Añada los siguientes atributos a la etiqueta <Connector> en el archivo /etc/vcac/server.xml:

sslEnabledProtocols = "TLSv1.2"

b Ejecute el siguiente comando para reiniciar el servicio vRealize Automation:


7 Compruebe que SSLv3, TLS 1.0 y TLS 1.1 estén deshabilitados para RabbitMQ.

Abra el archivo /etc/rabbitmq/rabbitmq.config y compruebe que {versions, ['tlsv1.2','tlsv1.1']} aparezca en las secciones ssl y ssl_options.

[

{ssl, [

{versions, ['tlsv1.2', 'tlsv1.1']},

{ciphers, ["AES256-SHA", "AES128-SHA"]}

]},

{rabbit, [

{tcp_listeners, [{"127.0.0.1", 5672}]},

{frame_max, 262144},

{ssl_listeners, [5671]},

{ssl_options, [

{cacertfile, "/etc/rabbitmq/certs/ca/cacert.pem"},

{certfile, "/etc/rabbitmq/certs/server/cert.pem"},

{keyfile, "/etc/rabbitmq/certs/server/key.pem"},

{versions, ['tlsv1.2', 'tlsv1.1']},

{ciphers, ["AES256-SHA", "AES128-SHA"]},

{verify, verify_peer},

{fail_if_no_peer_cert, false}

]},

{mnesia_table_loading_timeout,600000},

{cluster_partition_handling, autoheal},

{heartbeat, 600}

]},

{kernel, [{net_ticktime, 120}]}

].

8 Reinicie el servidor de RabbitMQ.

# service rabbitmq-server restart


VMware, Inc. 29

9 Compruebe que SSLv3, TLS 1.0 y TLS 1.1 estén deshabilitados para el servicio vIDM.

Abra el archivo opt/vmware/horizon/workspace/conf/server.xml para cada instancia delconector que contenga SSLEnabled="true" y asegúrese de que la siguiente línea esté presente.

sslEnabledProtocols="TLSv1.2"

Configurar conjuntos de cifrados TLS para los componentes devRealize AutomationPara lograr la máxima seguridad, debe configurar los componentes de vRealize Automation para queutilicen cifrados seguros.

Los cifrados que se negocian entre el servidor y el navegador determinan el nivel de cifrado que se utilizadurante una sesión de TLS.

Para asegurarse de que se seleccionen solo cifrados seguros, deshabilite los cifrados no seguros en loscomponentes de vRealize Automation. Configure el servidor para que admita solo cifrados seguros ypara que utilice tamaños de clave lo suficientemente grandes. Además, configure todos los cifrados enun orden adecuado.

Deshabilite los conjuntos de cifrados que no ofrezcan autenticación, como los conjuntos de cifradosNULL, aNULL o eNULL. Deshabilite también el intercambio de claves Diffie-Hellman anónimo (ADH), loscifrados de nivel de exportación (EXP, cifrados que contienen DES), los tamaños de clave inferiores a128 bits para el cifrado del tráfico de carga, el uso de MD5 como un mecanismo de hash del tráfico decarga, los conjuntos de cifrados IDEA y los conjuntos de cifrados RC4. Asegúrese también de que elconjunto de cifrados que usa el intercambio de claves Diffie-Hellman (DHE) está deshabilitado

Deshabilitar cifrados no seguros en HAProxy

Compare los cifrados del servicio HAProxy del dispositivo de vRealize Automation con la lista cifradosaceptados y deshabilite todos los que no considere seguros.

Deshabilite los conjuntos de cifrados que no ofrezcan autenticación, como los conjuntos de cifradosNULL, aNULL o eNULL. Deshabilite también el intercambio de claves Diffie-Hellman anónimo (ADH), loscifrados de nivel de exportación (EXP, cifrados que contienen DES), los tamaños de clave inferiores a128 bits para el cifrado del tráfico de carga, el uso de MD5 como un mecanismo de hash del tráfico decarga, los conjuntos de cifrados IDEA y los conjuntos de cifrados RC4.

Procedimiento

1 Revise la entrada de cifrados del archivo /etc/haproxy/conf.d/20-vcac.cfg de la directiva deenlace y deshabilite aquellos que no considere seguros.

bind 0.0.0.0:443 ssl crt /etc/apache2/server.pem ciphers !aNULL:!eNULL:kECDH

+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES:@STRENGTH no-sslv3 no-

tlsv10 no-tlsv11


VMware, Inc. 30

2 Revise la entrada de cifrados del archivo /etc/haproxy/conf.d/30-vro-config.cfg de ladirectiva de enlace y deshabilite aquellos que no considere seguros.

bind :::8283 v4v6 ssl crt /opt/vmware/etc/lighttpd/server.pem ciphers !aNULL:!

eNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES:@STRENGTH

no-sslv3 no-tlsv10 no-tlsv11

Deshabilitar cifrados no seguros del servicio de proxy de la consola del dispositivo deDispositivo de vRealize AutomationvRealize Automation

Compare los cifrados del servicio de proxy de la consola del dispositivo de vRealize Automation con lalista cifrados aceptados y deshabilite todos los que no considere seguros.


Procedimiento

1 Abra el archivo /etc/vcac/security.properties en un editor de texto.

2 Agregue una línea al archivo para deshabilitar los conjuntos de cifrados no deseados.

Utilice una variación de la siguiente línea:

consoleproxy.ssl.ciphers.disallowed=cipher_suite_1, cipher_suite_2, etc.

Por ejemplo, para deshabilitar los conjuntos de claves de cifrado AES 128 y AES 256, añada lasiguiente línea:

consoleproxy.ssl.ciphers.disallowed=TLS_DH_DSS_WITH_AES_128_CBC_SHA,

TLS_DH_DSS_WITH_AES_256_CBC_SHA, TLS_DH_RSA_WITH_AES_256_CBC_SHA,

TLS_DHE_DSS_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_256_CBC_SHA,

TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_256_CBC_SHA

3 Reinicie el servidor mediante el siguiente comando.


Deshabilitar cifrados no seguros en el servicio vCO de Dispositivo de vRealize Automation

Compare los cifrados del servicio vCO de Dispositivo de vRealize Automation con la lista de cifradosaceptados y deshabilite todos los que se consideren no seguros.



VMware, Inc. 31

Procedimiento

1 Busque la etiqueta <Connector> en el archivo /etc/vco/app/server/server.xml.

2 Edite o añada el atributo de cifrado para utilizar los conjuntos de claves cifrado deseados.

Consulte el siguiente ejemplo:

ciphers="TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_EC

DSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_

SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_

WITH_AES_256_CBC_SHA384”

Deshabilitar cifrados no seguros en el servicio RabbitMQ de Dispositivo de vRealizeAutomation

Compare los cifrados del servicio RabbitMQ de Dispositivo de vRealize Automation con la lista decifrados aceptados y deshabilite todos los que considere no seguros.


Procedimiento

1 Para analizar los conjuntos de cifrados compatibles, ejecute el comando# /usr/sbin/rabbitmqctl eval 'ssl:cipher_suites().'.

Los cifrados que se devuelven en el siguiente ejemplo representan solo los cifrados compatibles. Elservidor de RabbitMQ no utiliza ni anuncia estos cifrados, a menos que esté configurado parahacerlo en el archivo rabbitmq.config.

["ECDHE-ECDSA-AES256-GCM-SHA384","ECDHE-RSA-AES256-GCM-SHA384",

"ECDHE-ECDSA-AES256-SHA384","ECDHE-RSA-AES256-SHA384",

"ECDH-ECDSA-AES256-GCM-SHA384","ECDH-RSA-AES256-GCM-SHA384",

"ECDH-ECDSA-AES256-SHA384","ECDH-RSA-AES256-SHA384",

"DHE-RSA-AES256-GCM-SHA384","DHE-DSS-AES256-GCM-SHA384",

"DHE-RSA-AES256-SHA256","DHE-DSS-AES256-SHA256","AES256-GCM-SHA384",

"AES256-SHA256","ECDHE-ECDSA-AES128-GCM-SHA256",

"ECDHE-RSA-AES128-GCM-SHA256","ECDHE-ECDSA-AES128-SHA256",

"ECDHE-RSA-AES128-SHA256","ECDH-ECDSA-AES128-GCM-SHA256",

"ECDH-RSA-AES128-GCM-SHA256","ECDH-ECDSA-AES128-SHA256",

"ECDH-RSA-AES128-SHA256","DHE-RSA-AES128-GCM-SHA256",

"DHE-DSS-AES128-GCM-SHA256","DHE-RSA-AES128-SHA256","DHE-DSS-AES128-SHA256",

"AES128-GCM-SHA256","AES128-SHA256","ECDHE-ECDSA-AES256-SHA",

"ECDHE-RSA-AES256-SHA","DHE-RSA-AES256-SHA","DHE-DSS-AES256-SHA",

"ECDH-ECDSA-AES256-SHA","ECDH-RSA-AES256-SHA","AES256-SHA",

"ECDHE-ECDSA-DES-CBC3-SHA","ECDHE-RSA-DES-CBC3-SHA","EDH-RSA-DES-CBC3-SHA",


VMware, Inc. 32

"EDH-DSS-DES-CBC3-SHA","ECDH-ECDSA-DES-CBC3-SHA","ECDH-RSA-DES-CBC3-SHA",

"DES-CBC3-SHA","ECDHE-ECDSA-AES128-SHA","ECDHE-RSA-AES128-SHA",

"DHE-RSA-AES128-SHA","DHE-DSS-AES128-SHA","ECDH-ECDSA-AES128-SHA",

"ECDH-RSA-AES128-SHA","AES128-SHA"]

2 Seleccione los cifrados compatibles que cumplan con los requisitos de seguridad de su organización.

Por ejemplo, para permitir solo ECDHE-ECDSA-AES128-GCM-SHA256 & ECDHE-ECDSA-AES256-GCM-SHA384, revise el archivo /etc/rabbitmq/rabbitmq.config y agregue la siguiente línea a ssl yssl_options.

{ciphers, [“ECDHE-ECDSA-AES128-GCM-SHA256”, “ECDHE-ECDSA-AES256-GCM-SHA384”]}

3 Reinicie el servidor de RabbitMQ con el siguiente comando.

service rabbitmq-server restart

Comprobar la seguridad de datos en reposoCompruebe la seguridad de los usuarios y las cuentas de la base de datos con vRealize Automation.

Usuario de PostgresLa cuenta de usuario de Postgres Linux está vinculada a la función de cuenta de superusuario de la basede datos de Postgres, la cual es una cuenta bloqueada de forma predeterminada. Esta es laconfiguración más segura para este usuario, ya que solo es accesible desde la cuenta de usuario raíz.No desbloquee esta cuenta de usuario.

Funciones de cuenta de usuario de base de datosLas funciones predeterminadas de la cuenta de usuario de Postgres no deben utilizarse al margen de lafuncionalidad de la aplicación. Para poder admitir actividades de generación de informes o revisión debase de datos no predeterminadas, debe crearse una cuenta adicional que esté protegida con unacontraseña apropiada.

Ejecute el siguiente script en la línea de comandos:

vcac-vami add-db-user newUsername newPassword

Esto agregará un nuevo usuario y una contraseña proporcionada por el usuario.

NOTA: Este script debe ejecutarse en la base de datos de Postgres principal en los casos donde existeuna configuración de Postgres de HA principal-esclavo.


VMware, Inc. 33

Configurar autenticación de cliente de PostgreSQLAsegúrese de que la autenticación de confianza local no esté configurada en la base de datosPostgreSQL del dispositivo de vRealize Automation. Esta configuración permite que cualquier usuariolocal, incluido el superusuario de base de datos, se conecte como cualquier usuario de PostgreSQL sinuna contraseña.

NOTA: La cuenta de superusuario de Postgres debe permanecer como de confianza local.

Se recomienda el método de autenticación md5, ya que envía contraseñas cifradas.

La configuración de autenticación de cliente se encuentra en elarchivo /storage/db/pgdata/pg_hba.conf.

# TYPE DATABASE USER ADDRESS METHOD

# "local" is for Unix domain socket connections only

local all postgres trust

# IPv4 local connections:

#host all all 127.0.0.1/32 md5

hostssl all all 127.0.0.1/32 md5

# IPv6 local connections:

#host all all ::1/128 md5

hostssl all all ::1/128 md5

# Allow remote connections for VCAC user.

#host vcac vcac 0.0.0.0/0 md5

hostssl vcac vcac 0.0.0.0/0 md5

hostssl vcac vcac ::0/0 md5

# Allow remote connections for VCAC replication user.

#host vcac vcac_replication 0.0.0.0/0 md5

hostssl vcac vcac_replication 0.0.0.0/0 md5

hostssl vcac vcac_replication ::0/0 md5

# Allow replication connections by a user with the replication privilege.

#host replication vcac_replication 0.0.0.0/0 md5

hostssl replication vcac_replication 0.0.0.0/0 md5

hostssl replication vcac_replication ::0/0 md5

Si edita el archivo pg_hba.conf, debe reiniciar el servidor de Postgres ejecutando los siguientescomandos para que los cambios surtan efecto.

# cd /opt/vmware/vpostgres/9.2/bin

# su postgres

# ./pg_ctl restart –D /storage/db/pgdata/ -m fast

Configurar recursos de aplicación de vRealize AutomationRevise los recursos de aplicación de vRealize Automation y restrinja los permisos de archivo.


VMware, Inc. 34

Procedimiento

1 Ejecute el siguiente comando para comprobar que los archivos con bits SUID y GUID estén definidoscorrectamente.

find / -path /proc -prune -o -type f -perm +6000 -ls

Debería aparecer la siguiente lista.

2197357 24 -rwsr-xr-x 1 polkituser root 23176 Mar 31 2015 /usr/lib/PolicyKit/polkit-

set-default-helper

2197354 16 -rwxr-sr-x 1 root polkituser 14856 Mar 31 2015 /usr/lib/PolicyKit/polkit-

read-auth-helper

2197353 12 -rwsr-x--- 1 root polkituser 10744 Mar 31 2015 /usr/lib/PolicyKit/polkit-

grant-helper-pam


grant-helper


explicit-grant-helper


revoke-helper

2188203 460 -rws--x--x 1 root root 465364 Apr 21 22:38 /usr/lib64/ssh/ssh-keysign

2138858 12 -rwxr-sr-x 1 root tty 10680 May 10 2010 /usr/sbin/utempter

2142482 144 -rwsr-xr-x 1 root root 142890 Sep 15 2015 /usr/bin/passwd

2142477 164 -rwsr-xr-x 1 root shadow 161782 Sep 15 2015 /usr/bin/chage

2142467 156 -rwsr-xr-x 1 root shadow 152850 Sep 15 2015 /usr/bin/chfn

1458298 364 -rwsr-xr-x 1 root root 365787 Jul 22 2015 /usr/bin/sudo

2142481 64 -rwsr-xr-x 1 root root 57776 Sep 15 2015 /usr/bin/newgrp

1458249 40 -rwsr-x--- 1 root trusted 40432 Mar 18 2015 /usr/bin/crontab

2142478 148 -rwsr-xr-x 1 root shadow 146459 Sep 15 2015 /usr/bin/chsh

2142480 156 -rwsr-xr-x 1 root shadow 152387 Sep 15 2015 /usr/bin/gpasswd

2142479 48 -rwsr-xr-x 1 root shadow 46967 Sep 15 2015 /usr/bin/expiry

311484 48 -rwsr-x--- 1 root messagebus 47912 Sep 16 2014 /lib64/dbus-1/dbus-daemon-

launch-helper

876574 36 -rwsr-xr-x 1 root shadow 35688 Apr 10 2014 /sbin/unix_chkpwd

876648 12 -rwsr-xr-x 1 root shadow 10736 Dec 16 2011 /sbin/unix2_chkpwd

49308 68 -rwsr-xr-x 1 root root 63376 May 27 2015 /opt/likewise/bin/ksu

1130552 40 -rwsr-xr-x 1 root root 40016 Apr 16 2015 /bin/su

1130511 40 -rwsr-xr-x 1 root root 40048 Apr 15 2011 /bin/ping

1130600 100 -rwsr-xr-x 1 root root 94808 Mar 11 2015 /bin/mount

1130601 72 -rwsr-xr-x 1 root root 69240 Mar 11 2015 /bin/umount

1130512 36 -rwsr-xr-x 1 root root 35792 Apr 15 2011 /bin/ping6

2012 /lib64/dbus-1/dbus-daemon-launch-helper

2 Ejecute el siguiente comando para comprobar que todos los archivos del dispositivo virtual tienen unpropietario.

find / -path /proc -prune -o -nouser -o -nogroup

3 Ejecute el siguiente comando para verificar los permisos de todos los archivos en el dispositivovirtual para comprobar que ninguno de ellos puede ser modificado por cualquier usuario.

find / -name "*.*" -type f -perm -a+w | xargs ls –ldb


VMware, Inc. 35

4 Ejecute el siguiente comando para comprobar que solo el usuario vcac es el propietario de losarchivos correctos.

find / -name "proc" -prune -o -user vcac -print | egrep -v -e "*/vcac/*" | egrep

-v -e "*/vmware-vcac/*"

Si se devuelve ningún resultado, todos los archivos correctos son propiedad exclusiva del usuariovcac.

5 Compruebe que solo el usuario vcac tenga permiso para escribir en los siguientes archivos.

/etc/vcac/vcac/security.properties

/etc/vcac/vcac/solution-users.properties

/etc/vcac/vcac/sso-admin.properties

/etc/vcac/vcac/vcac.keystore

/etc/vcac/vcac/vcac.properties

Compruebe también los siguientes archivos y sus subdirectorios:

/var/log/vcac/*

/var/lib/vcac/*

/var/cache/vcac/*

6 Compruebe que solo el usuario raíz o el usuario vcac pueden leer los archivos correctos en lossiguientes directorios y sus subdirectorios.

/etc/vcac/*

/var/log/vcac/*

/var/lib/vcac/*

/var/cache/vcac/*

7 Compruebe que los archivos correctos son propiedad exclusiva del usuario raíz o el usuario vco,como se muestra en los siguientes directorios y sus subdirectorios.

/etc/vco/*

/var/log/vco/*

/var/lib/vco/*

/var/cache/vco/*

8 Compruebe que solo el usuario raíz o el usuario vco pueden escribir en los archivos correctos, comose muestra en los siguientes directorios y sus subdirectorios.

/etc/vco/*

/var/log/vco/*


VMware, Inc. 36

/var/lib/vco/*

/var/cache/vco/*

9 Compruebe que solo el usuario raíz o el usuario vco pueden leer los archivos correctos, como semuestra en los siguientes directorios y sus subdirectorios.

/etc/vco/*

/var/log/vco/*

/var/lib/vco/*

/var/cache/vco/*

Personalizar configuración de proxy de la consolaPuede personalizar la configuración de la consola remota para que vRealize Automation facilite lasolución de problemas y las prácticas recomendadas organizativas.

Al instalar, configurar o mantener vRealize Automation, puede cambiar algunas opciones para habilitar lasolución de problemas y la depuración de la instalación. Catalogue y audite cada uno de los cambios querealice para asegurarse de que los componentes aplicables estén protegidos correctamente según suuso requerido. No pase a la etapa de producción si no está seguro de que los cambios de configuraciónestán protegidos correctamente.

Personalizar la caducidad de ticket de VMware Remote ConsolePuede personalizar el período de validez de los tickets de consola remota que se utilizan para establecerconexiones de VMware Remote Console.

Cuando un usuario establece conexiones de VMware Remote Console, el sistema crea y devuelve unacredencial única que establece una conexión específica con una máquina virtual. Puede establecer lacaducidad de ticket para un período de tiempo especificado en minutos.

Procedimiento


2 Agregue una línea al archivo con el formato consoleproxy.ticket.validitySec=30.

En esta línea, el valor numérico especifica la cantidad de minutos que debe transcurrir antes de quecaduque el ticket.


4 Reinicie el servidor vCAC mediante el comando /etc/init.d/vcac-server restart.

El valor de caducidad de ticket se restablece en el período de tiempo especificado en minutos.

Personalizar el puerto del servidor proxy de la consolaPuede personalizar el puerto en el que el proxy de la consola VMware Remote Console escucha losmensajes.


VMware, Inc. 37

Procedimiento


2 Agregue una línea al archivo con el formato consoleproxy.service.port=8445.

El valor numérico especifica el número de puerto del servicio de proxy de la consola (en este caso,8445).


4 Reinicie el servidor vCAC mediante el comando /etc/init.d/vcac-server restart.

El puerto del servicio de proxy cambia al número de puerto especificado.

Configurar encabezado de respuesta X-XSS-ProtectionAgregue el encabezado de respuesta X-XSS-Protection al archivo de configuración de HAProxy.

Procedimiento

1 Abra /etc/haproxy/conf.d/20-vcac.cfg para editarlo.

2 Añada las siguientes líneas en una sección de front-end:

rspdel X-XSS-Protection:\ 1;\ mode=block

rspadd X-XSS-Protection:\ 1;\ mode=block

3 Vuelva a cargar la configuración de HAProxy mediante el siguiente comando.

/etc/init.d/haproxy reload

Configurar encabezado de respuesta de seguridad de transporte estricto deHTTPAgregue el encabezado de respuesta de transporte estricto de HTTP (HSTS) a la configuración deHAProxy.

Procedimiento


2 Añada las siguientes líneas en una sección de front-end:

rspdel Strict-Transport-Security:\ max-age=31536000

rspadd Strict-Transport-Security:\ max-age=31536000



Configurar encabezado de respuesta X-Frame-OptionsEl encabezado de respuesta X-Frame-Options puede aparecer dos veces en algunos casos.


VMware, Inc. 38

El encabezado de respuesta X-Frame-Options puede aparecer dos veces debido a que el servicio devIDM agrega este encabezado tanto al back-end como a HAProxy. Puede evitar que aparezca dos vecessi se configura de forma adecuada.

Procedimiento


2 En la sección de front-end, busque la siguiente línea:

rspadd X-Frame-Options:\ SAMEORIGIN

3 Agregue las siguientes líneas antes de la línea que ha encontrado en el paso anterior:

rspdel X-Frame-Options:\ SAMEORIGIN



Configurar encabezados de respuesta de servidorComo procedimiento de seguridad recomendado, configure el sistema de vRealize Automation paralimitar la información que está disponible para los posibles atacantes.

En la medida que sea posible, reduzca la cantidad de información que el sistema comparte sobre suidentidad y su versión. Los piratas informáticos y los agentes malintencionados pueden utilizar estainformación para realizar ataques contra su versión o su servidor web específicos.

Configurar encabezado de respuesta del servidor LighttpdSe recomienda crear un encabezado de servidor en blanco para el servidor Lighttpd del dispositivo devRealize Automation.

Procedimiento

1 Abra el archivo /opt/vmware/etc/lighttpd/lighttpd.conf en un editor de texto.

2 Añada server.tag = " " al archivo.


4 Reinicie el servidor Lighttpd ejecutando el comando # /opt/vmware/etc/init.d/vami-lighttprestart.

Configurar el encabezado de respuesta de TCServer para el dispositivo devRealize AutomationSe recomienda crear un encabezado de servidor en blanco personalizado para el encabezado derespuesta de TCServer que se utiliza con el dispositivo de vRealize Automation con el fin de limitar laposibilidad de que un atacante malintencionado obtenga información valiosa.

Procedimiento

1 Abra el archivo /etc/vco/app-server/server.xml con un editor de texto.


VMware, Inc. 39

2 En cada elemento <Connector>, agregue server=" ".

Por ejemplo, <Connector protocol="HTTP/1.1" server="" ........ />.


4 Reinicie el servidor mediante el siguiente comando.


Configurar el encabezado de respuesta del servidor de Internet InformationServicesSe recomienda crear un encabezado de servidor en blanco personalizado para el servidor de InternetInformation Services (IIS) que se utiliza con Identity Appliance para limitar la posibilidad de que atacantesmalintencionados obtengan información valiosa.

Procedimiento

1 Abra el archivo C:\Windows\System32\inetsrv\urlscan\UrlScan.ini en un editor de texto.

2 Busque RemoveServerHeader=0 y cámbielo por RemoveServerHeader=1..


4 Reinicie el servidor ejecutando el comando iisreset.

Qué hacer a continuación

Deshabilite el encabezado "IIS X-Powered by" mediante la eliminación de los encabezados de respuestaHTTP de la lista en la consola de Administrador de IIS.

1 Abra la consola de Administrador de IIS.

2 Abra el encabezado de respuesta HTTP y quítelo de la lista.

3 Reinicie el servidor ejecutando el comando iisreset.

Establecer el tiempo de espera de sesión de Dispositivo devRealize AutomationConfigure el tiempo de espera de sesión en Dispositivo de vRealize Automation de acuerdo con lapolítica de seguridad de la empresa.

El tiempo de espera de sesión predeterminado de Dispositivo de vRealize Automation para la inactividaddel usuario es de 30 minutos. Para ajustar este valor de tiempo de espera de modo que cumpla con lapolítica de seguridad de la organización, edite el archivo web.xml en la máquina host de Dispositivo devRealize Automation.

Procedimiento

1 Abra el archivo /usr/lib/vcac/server/webapps/vcac/WEB-INF/web.xml en un editor de texto.


VMware, Inc. 40

2 Busque session-config y establezca el valor de tiempo de espera de sesión. Consulte el siguientecódigo de ejemplo.



<session-config>

<session-timeout>30</session-timeout>

<tracking-mode>COOKIE</tracking-mode>

<cookie-config>

<path>/</path>

</cookie-config>

</session-config>

3 Reinicie el servidor ejecutando el siguiente comando.


Administrar software no esencialPara minimizar los riesgos de seguridad, quite o configure el software no esencial de las máquinas hostde vRealize Automation.

Configure todo el software que no haya quitado en función de las recomendaciones del fabricante y losprocedimientos recomendados de seguridad para minimizar las posibilidades de que genere infraccionesde seguridad.

Proteger el controlador de almacenamiento USBProteja el controlador de almacenamiento USB para evitar que se utilice como controlador de dispositivoUSB con las máquinas host del dispositivo virtual de VMware. Los posibles atacantes pueden aprovechareste controlador para poner en peligro el sistema.

Procedimiento

1 Abra el archivo /etc/modprobe.conf.local en un editor de texto.

2 Asegúrese de que la línea install usb-storage /bin/true aparezca en el archivo.


Proteger el controlador del protocolo BluetoothProteja el controlador del protocolo Bluetooth en las máquinas host del dispositivo virtual para evitar quelos posibles atacantes lo aprovechen.

La vinculación del protocolo Bluetooth con la pila de red es innecesaria y puede incrementar la superficiedel host expuesta a ataques.

Procedimiento



VMware, Inc. 41

2 Asegúrese de que la línea siguiente aparezca en el archivo.

install bluetooth /bin/true


Proteger el protocolo Stream Control Transmission ProtocolEvite que el protocolo Stream Control Transmission Protocol (SCTP) se cargue en el sistema de formapredeterminada. Los posibles atacantes podrían aprovechar este protocolo para poner en peligro elsistema.

Configure el sistema para evitar que se cargue el módulo de Stream Control Transmission Protocol(SCTP), a menos que sea absolutamente necesario. SCTP es un protocolo de capa de transporteestandarizado por IETF que no se utiliza. Al vincular este protocolo con la pila de red, se incrementa lasuperficie del host expuesta a ataques. Los procesos locales sin privilegios podrían causar que el kernelcargue un controlador de protocolo de manera dinámica abriendo un socket mediante el protocolo.

Procedimiento



install sctp /bin/true


Proteger protocolo de congestión de datagramasComo parte de las actividades de protección del sistema, evite que el protocolo de congestión dedatagramas (Datagram Congestion Protocol, DCCP) se cargue en las máquinas host del dispositivovirtual de forma predeterminada. Los posibles atacantes pueden aprovechar este protocolo para poneren peligro el sistema.

Evite cargar el protocolo de control de congestión de datagramas (Datagram Congestion ControlProtocol, DCCP), a menos que sea absolutamente necesario. DCCP es un protocolo de capa detransporte propuesto que no se utiliza. Al vincular este protocolo con la pila de red, se incrementa lasuperficie del host expuesta a ataques. Los procesos locales sin privilegios pueden causar que el kernelcargue un controlador de protocolo de manera dinámica mediante el protocolo para abrir un socket.

Procedimiento


2 Asegúrese de que las líneas de DCCP aparezcan en el archivo.

install dccp/bin/true

install dccp_ipv4/bin/true

install dccp_ipv6/bin/true



VMware, Inc. 42

Proteger el puente de redEvite que el módulo de puente de red se cargue en el sistema de forma predeterminada. Los posiblesatacantes podrían aprovecharlo para poner en peligro el sistema.

Configure el sistema para evitar que se cargue la red, a menos que sea absolutamente necesario. Losposibles atacantes podrían aprovecharla para sortear la seguridad y las particiones de red.

Procedimiento

1 Ejecute el siguiente comando en todos las máquinas host del dispositivo virtual de VMware.

# rmmod bridge



install bridge /bin/false


Proteger el protocolo Reliable Datagram SocketsComo parte de las actividades de protección del sistema, evite que el protocolo Reliable DatagramSockets (RDS) se cargue en las máquinas host del dispositivo virtual de forma predeterminada. Losposibles atacantes pueden aprovechar este protocolo para poner en peligro el sistema.

Al vincular el protocolo Reliable Datagram Sockets (RDS) con la pila de red, se incrementa la superficiedel host expuesta a ataques. Los procesos locales sin privilegios pueden causar que el sistema cargueun controlador de protocolo de manera dinámica mediante el protocolo para abrir un socket.

Procedimiento


2 Asegúrese de que la línea install rds /bin/true aparezca en el archivo.


Proteger el protocolo de comunicación transparente entre procesosComo parte de las actividades de protección del sistema, evite que el Protocolo de comunicacióntransparente entre procesos (Transparent Inter-Process Communication Protocol, TIPC) se cargue en lasmáquinas host de dispositivo virtual de forma predeterminada. Los posibles atacantes puedenaprovechar este protocolo para poner en peligro el sistema.

Vincular el TIPC a la pila de red aumenta la superficie del host expuesta a ataques. Los procesos localessin privilegios pueden causar que el kernel cargue un controlador de protocolo de manera dinámicamediante el protocolo para abrir un socket.

Procedimiento



VMware, Inc. 43

2 Asegúrese de que la línea install tipc /bin/true aparezca en el archivo.


Proteger el protocolo Internetwork Packet ExchangeEvite que el protocolo Internetwork Packet Exchange (IPX) se cargue en el sistema de formapredeterminada. Los posibles atacantes podrían aprovechar este protocolo para poner en peligro elsistema.

Evite cargar el módulo del protocolo Internetwork Packet Exchange (IPX), a menos que seaabsolutamente necesario. El protocolo IPX es un protocolo de nivel de red obsoleto. Al vincular esteprotocolo con la pila de red, se incrementa la superficie del host expuesta a ataques. Los procesoslocales sin privilegios podrían causar que el sistema cargue un controlador de protocolo de maneradinámica mediante el protocolo para abrir un socket.

Procedimiento



install ipx /bin/true


Proteger el protocolo AppletalkEvite que el protocolo Appletalk se cargue en el sistema de forma predeterminada. Los posiblesatacantes podrían aprovechar este protocolo para poner en peligro el sistema.

Evite cargar el módulo del protocolo Appletalk, a menos que sea absolutamente necesario. Al vinculareste protocolo con la pila de red, se incrementa la superficie del host expuesta a ataques. Los procesoslocales sin privilegios podrían causar que el sistema cargue un controlador de protocolo de maneradinámica mediante el protocolo para abrir un socket.

Procedimiento



install appletalk /bin/true


Proteger el protocolo DECnetEvite que el protocolo DECnet se cargue en el sistema de forma predeterminada. Los posibles atacantespodrían aprovechar este protocolo para poner en peligro el sistema.


VMware, Inc. 44

Evite cargar el módulo del protocolo DECnet, a menos que sea absolutamente necesario. Al vincular esteprotocolo con la pila de red, se incrementa la superficie del host expuesta a ataques. Los procesoslocales sin privilegios podrían causar que el sistema cargue un controlador de protocolo de maneradinámica mediante el protocolo para abrir un socket.

Procedimiento

1 Abra el archivo /etc/modprobe.conf.local del protocolo DECnet en un editor de texto.


install decnet /bin/true


Asegurar el módulo FirewireEvite que el módulo Firewire se cargue en el sistema de forma predeterminada. Los posibles atacantespodrían aprovechar este protocolo para poner en peligro el sistema.

Evite cargar el módulo Firewire, a menos que sea absolutamente necesario.

Procedimiento



install ieee1394 /bin/true


Proteger el componente de infraestructura como servicioAl proteger el sistema, ofrezca seguridad al componente de infraestructura como servicio (Infrastructureas a Service, IaaS) de vRealize Automation y su máquina host para evitar que posibles atacantesaprovechen esa vulnerabilidad.

Debe configurar la seguridad del componente de IaaS de vRealize Automation y el host en el que reside.Debe establecer o comprobar la configuración de los demás componentes y aplicaciones relacionados.En algunos casos, puede comprobar la configuración existente; en otros casos, debe cambiar o añadirajustes para que la configuración sea adecuada.

Deshabilitar el servicio Hora de WindowsComo procedimiento de seguridad recomendado, use servidores horarios autorizados en lugar de lasincronización de hora del host en un entorno de producción de vRealize Automation.

En un entorno de producción, deshabilite la sincronización de hora del host y utilice los servidoreshorarios autorizados para permitir el seguimiento preciso de las acciones de usuario y la identificación deposibles intrusiones y ataques malintencionados a través de auditoría y registro.


VMware, Inc. 45

Configurar TLS para datos en tránsito de infraestructura comoservicioAsegúrese de que la implementación de vRealize Automation use protocolos de TLS seguros paraproteger los canales de transmisión de los componentes de infraestructura como servicio.

El protocolo Capa de sockets seguros (Secure Sockets Layer, SSL) y el protocolo Seguridad de la capade transporte (Transport Layer Security, TLS) más reciente son protocolos criptográficos que permitengarantizar la seguridad del sistema durante las comunicaciones de red entre los diferentes componentesdel sistema. Como SSL es un estándar más antiguo, muchos de sus implementos ya no ofrecen un nivelde protección adecuado contra posibles ataques. Se han identificado vulnerabilidades importantes en losprotocolos SSL anteriores, incluidos SSLv2 y SSLv3. Estos protocolos ya no se consideran seguros.

Según las políticas de seguridad de la organización, puede que también sea recomendable deshabilitarTLS 1.0.

NOTA: Al finalizar TLS en el equilibrador de carga, deshabilite también los protocolos poco seguros,como SSLv2, SSLv3, así como TLS 1.0 si es necesario.

Deshabilitar SSLv3 en Internet Information ServicesComo procedimiento de seguridad recomendado, deshabilite SSLv3 en Internet Information Services(IIS) en la máquina del servidor host de infraestructura como servicio (Infrastructure as a Service, IaaS).

Procedimiento

1 Ejecute el editor del Registro de Windows como administrador.

2 Desplácese hastaHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Pr

otocols\ en la ventana del Registro.

3 Haga clic con el botón derecho en Protocolos y seleccione Nuevo > Clave.

4 Introduzca SSL 3.0.

5 En el árbol de navegación, haga clic con el botón derecho en la clave de SSL 3.0 recientementecreada y, en el menú emergente, seleccione Nuevo > Clave e introduzca Cliente.

6 En el árbol de navegación, haga clic con el botón derecho en la clave de SSL 3.0 recientementecreada y, en el menú emergente, seleccione Nuevo > Clave e introduzca Servidor.

7 En el árbol de navegación, en SSL 3.0, haga clic con el botón derecho en Cliente, seleccione Nuevo> Valor DWORD (32 bits) e introduzca DisabledByDefault.

8 En el árbol de navegación, en SSL 3.0, seleccione Cliente y, en el panel derecho, haga doble clic enDisabledByDefault e introduzca 1.

9 En el árbol de navegación, en SSL 3.0, haga clic con el botón derecho en Servidor, seleccioneNuevo > Valor DWORD (32 bits) e introduzca Habilitado.


VMware, Inc. 46

10 En el árbol de navegación, en SSL 3.0, seleccione Servidor y, en el panel derecho, haga doble clicen la instancia habilitada de DWORD e introduzca 0.

11 Reinicie Windows Server.

Deshabilitar TLS 1.0 para IaaSPara proporcionar máxima seguridad, configure IaaS para que utilice la limitación de peticiones ydeshabilite TLS 1.0.

Para obtener más información, consulte el artículo de Microsoft Knowledge Base https://support.microsoft.com/en-us/kb/245030.

Procedimiento

1 Configure IaaS para utilizar la limitación de peticiones en lugar de sockets web.

a Actualice el archivo de configuración de Manager Service C:\Archivos de programa(x86)\VMware\vCAC\Server\ManagerService.exe.config agregando los siguientes valoresen la sección <appSettings>.

<add key="Extensibility.Client.RetrievalMethod" value="Polling"/>

<add key="Extensibility.Client.PollingInterval" value="2000"/>

<add key="Extensibility.Client.PollingMaxEvents" value="128"/>

b Reinicie Manager Service (VMware vCloud Automation Center Service).

2 Compruebe que TLS 1.0 esté deshabilitado en el servidor de IaaS.

a Ejecute el editor del Registro como administrador.

b En la ventana del Registro, desplácese hastaHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schanne

l\Protocols\.

c Haga clic con el botón derecho en Protocolos y seleccione Nuevo > Clave y, a continuación,introduzca TLS 1.0.

d En el árbol de navegación, haga clic con el botón derecho en la clave de TLS 1.0 que acaba decrear y, en el menú emergente, seleccione Nuevo > Clave e introduzca Cliente.

e En el árbol de navegación, haga clic derecho en la clave de TLS 1.0 que acaba de crear y, en elmenú emergente, seleccione Nuevo > Clave e introduzca Servidor.

f En el árbol de navegación, en TLS 1.0, haga clic con el botón derecho en Cliente y, acontinuación, haga clic en Nuevo > Valor DWORD (32 bits) e introduzca DisabledByDefault.

g En el árbol de navegación, en TLS 1.0, seleccione Cliente y en el panel derecho, haga doble clicen el DWORD DisabledByDefault e introduzca 1.

h En el árbol de navegación, TLS 1.0, haga clic con el botón derecho en Servidor y seleccioneNuevo > Valor DWORD (32 bits) e introduzca Habilitado.


VMware, Inc. 47

https://support.microsoft.com/en-us/kb/245030

i En el árbol de navegación, en TLS 1.0, seleccione Servidor y en el panel derecho, haga dobleclic en el DWORD Habilitado e introduzca 0.

j Reinicie Windows Server.

Configurar conjuntos de cifrados TLSPara lograr la máxima seguridad, debe configurar los componentes de vRealize Automation para queutilicen cifrados seguros. Los cifrados que se negocian entre el servidor y el navegador determinan elnivel de cifrado que se utiliza durante una sesión de TLS. Para asegurarse de que se seleccionen solocifrados seguros, deshabilite los cifrados no seguros en los componentes de vRealize Automation.Configure el servidor para que admita solo cifrados seguros y para que utilice tamaños de clave losuficientemente grandes. Además, configure todos los cifrados en un orden adecuado.

Conjuntos de cifrados que no son aceptablesDeshabilite los conjuntos de cifrados que no ofrezcan autenticación, como los conjuntos de cifradosNULL, aNULL o eNULL. Deshabilite también el intercambio de claves Diffie-Hellman anónimo (ADH), loscifrados de nivel de exportación (EXP, cifrados que contienen DES), los tamaños de clave inferiores a128 bits para el cifrado del tráfico de carga, el uso de MD5 como un mecanismo de hash del tráfico decarga, los conjuntos de cifrados IDEA y los conjuntos de cifrados RC4. Asegúrese también de que esténdeshabilitados los conjuntos de cifrados que usen el intercambio de claves Diffie-Hellman (DHE).

Comprobar seguridad del servidor hostComo procedimiento recomendado de seguridad, compruebe la configuración de seguridad de lasmáquinas de servidor host de infraestructura como servicio (Infrastructure as a Service, IaaS).

Microsoft proporciona varias herramientas para ayudarle a comprobar la seguridad en las máquinas deservidor host. Para obtener instrucciones acerca del uso más adecuado de estas herramientas, póngaseen contacto con su proveedor de Microsoft.

Comprobar la línea base segura del servidor hostEjecute Microsoft Baseline Security Analyzer (MBSA) para confirmar rápidamente que el servidor tienelas actualizaciones o las correcciones más recientes. Puede usar MBSA para instalar las revisiones deseguridad de Microsoft que falten y mantener el servidor actualizado con las recomendaciones deseguridad de Microsoft.

Descargue la versión más reciente de la herramienta MBSA del sitio web de Microsoft.

Comprobar la configuración de seguridad del servidor hostUtilice el Asistente para configuración de seguridad (Security Configuration Wizard, SCW) de Windows yel kit de herramientas de Microsoft Security Compliance Manager (SCM) para comprobar que el servidorhost está configurado de forma segura.


VMware, Inc. 48

Ejecute el SCW desde las herramientas administrativas del servidor de Windows. Esta herramientapuede identificar las funciones del servidor y las características instaladas, incluidas las redes, losfirewalls de Windows y la configuración del registro. Compare el informe con las directrices de protecciónmás recientes del SCM relevante para el servidor de Windows. En función de los resultados, puedeajustar la configuración de seguridad de cada característica (como los servicios de red, la configuraciónde cuenta y los firewalls de Windows) y aplicar la configuración a su servidor.

Puede encontrar más información acerca de la herramienta SCW en el sitio web de Microsoft Technet.

Proteger recursos de aplicaciónComo procedimiento de seguridad recomendado, asegúrese de que todos los archivos pertinentes deinfraestructura como servicio tengan los permisos correspondientes.

Revise los archivos de infraestructura como servicio en la instalación de infraestructura como servicio. Enla mayoría de los casos, las subcarpetas y los archivos de cada carpeta deben tener la mismaconfiguración que la carpeta.

Directorio o archivoGrupo ousuarios

Controltotal

Modificación

Lectura yejecución Lectura Escritura

VMware\vCAC\Agents \<agent_name> \logs

SISTEMA X X X X X

Administrador X X X X X

Administradores X X X X X

VMware\vCAC\Agents\<agent_name> \temp

SISTEMA X X X X X



VMware\vCAC\Agents\ SISTEMA X X X X X


Usuarios X X

VMware\vCAC\Distributed ExecutionManager\

SISTEMA X X X X X


Usuarios X X

VMware\vCAC\Distributed ExecutionManager\DEM\Logs

SISTEMA X X X X X



VMware\vCAC\Distributed ExecutionManager\DEO\Logs

SISTEMA X X X X X



VMware\vCAC\Management Agent\ SISTEMA X X X X X


Usuarios X X


VMware, Inc. 49

Directorio o archivoGrupo ousuarios

Controltotal

Modificación

Lectura yejecución Lectura Escritura

VMware\vCAC\Server\ SISTEMA X X X X X


Usuarios X X

VMware\vCAC\Web API SISTEMA X X X X X


Usuarios X X

Proteger la máquina host de infraestructura como servicioComo procedimiento de seguridad recomendado, revise la configuración básica en su máquina host deinfraestructura como servicio (Infrastructure as a Service, IaaS) para asegurarse de que cumpla con lasdirectrices de seguridad.

Proteja cuentas, aplicaciones, puertos y servicios varios en la máquina host de IaaS.

Comprobar la configuración de la cuenta de usuario de servidorCompruebe que no existan cuentas de usuario locales y de dominio, ni parámetros de configuración queno sean necesarios. Restrinja las cuentas de usuario que no estén relacionadas con las funciones deaplicación a aquellas que sean necesarias para la administración, el mantenimiento y la solución deproblemas. Además, restrinja el acceso remoto de cuentas de usuario de dominio al mínimo necesariopara mantener el servidor, y controle y audite estas cuentas de manera estricta.

Eliminar aplicaciones innecesariasElimine todas las aplicaciones innecesarias de los servidores host. Las aplicaciones innecesariasaumentan el riesgo de exposición debido a vulnerabilidades desconocidas o no revisadas.

Deshabilitar servicios y puertos innecesariosRevise el firewall del servidor host para obtener la lista de puertos abiertos. Bloquee todos los puertosque no sean necesarios para el funcionamiento crítico del sistema o el componente de IaaS. Consulte Configurar puertos y protocolos. Audite los servicios que se ejecutan en el servidor host y desactiveaquellos que no sean necesarios.


VMware, Inc. 50

Configurar la seguridad de lared del host 8Para proporcionar la máxima protección frente a amenazas de seguridad conocidas, configure losajustes de comunicación e interfaz de red en todas las máquinas host de VMware.

Como parte de un plan de seguridad integral, configure los ajustes de seguridad de la interfaz de red delos componentes de infraestructura como servicio y los dispositivos virtuales de VMware de acuerdo conlas directrices de seguridad establecidas.


n Configurar ajustes de red para dispositivos de VMware

n Configurar ajustes de red para el host de infraestructura como servicio

n Configurar puertos y protocolos

Configurar ajustes de red para dispositivos de VMwarePara garantizar que las máquinas host del dispositivo virtual de VMware admitan únicamentecomunicaciones esenciales y seguras, revise y edite su configuración de comunicación de red.

Examine la configuración del protocolo IP de red de las máquinas host de VMware y configure los ajustesde red en función de las directrices de seguridad. Deshabilite todos los protocolos de comunicación queno sean esenciales.

Evitar el control de usuario de las interfaces de redComo procedimiento de seguridad recomendado, conceda a los usuarios solo los privilegios de sistemaque necesitan para realizar su trabajo en las máquinas host del dispositivo de VMware.

Si se permite que las cuentas de usuario con privilegios manipulen interfaces de red, es posible que sesorteen los mecanismos de seguridad de red o se deniegue el servicio. Restrinja la capacidad de losusuarios con privilegios para cambiar la configuración de interfaces de red.

Procedimiento

1 Ejecute el siguiente comando en cada máquina host del dispositivo de VMware.

# grep -i '^USERCONTROL=' /etc/sysconfig/network/ifcfg*

2 Asegúrese de que cada interfaz esté establecida en NO.

VMware, Inc. 51

Establecer el tamaño de cola de trabajo pendiente de TCPPara proporcionar un cierto nivel de defensa contra ataques malintencionados, configure un tamaño decola de trabajo pendiente de TCP en las máquinas host de dispositivo VMware.

Defina los tamaños de cola de trabajo pendiente de TCP en un tamaño predeterminado adecuado paramitigar los ataques de denegación de servicio de TCP. La configuración predeterminada recomendada es1280.

Procedimiento

1 Ejecute el siguiente comando en cada máquina del host de dispositivo de VMware.

# cat /proc/sys/net/ipv4/tcp_max_syn_backlog

2 Abra el archivo /etc/sysctl.conf en un editor de texto.

3 Establezca el tamaño predeterminado de cola de trabajo pendiente de TCP añadiendo la siguienteentrada al archivo.

net.ipv4.tcp_max_syn_backlog=1280


Denegar ecos de ICMPv4 a direcciones de difusiónComo procedimiento de seguridad recomendado, compruebe que las máquinas host del dispositivo deVMware omitan las solicitudes de eco de direcciones de difusión de ICMP.

Las respuestas a ecos del Protocolo de mensajes de control de Internet (Internet Control MessageProtocol, ICMP) de difusión proporcionan un vector de ataque para ataques de amplificación y puedenfacilitar la asignación de redes por parte de agentes malintencionados. La configuración de las máquinashost del dispositivo para que omitan los ecos de ICMPv4 protege contra este tipo de ataques.

Procedimiento

1 Ejecute el comando # cat /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts en lasmáquinas host del dispositivo virtual de VMware para confirmar que deniegan las solicitudes de ecosde direcciones de difusión de IPv4.

Si se configuran las máquinas host para que denieguen las redirecciones de IPv4, este comandodevolverá 0 para /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts.

2 Si desea configurar una máquina host del dispositivo virtual para que deniegue solicitudes de ecosde direcciones de difusión de ICMPv4, abra el archivo de /etc/sysctl.conf de las máquinas hostde Windows en un editor de texto.

3 Busque la entrada que rece net.ipv4.icmp_echo_ignore_broadcasts=0 . Si el valor para estaentrada no es 0 o si no existe la entrada, agréguela o actualice la entrada existente segúncorresponda.



VMware, Inc. 52

Deshabilitar ARP de proxy de IPv4Compruebe que el ARP de proxy de IPv4 está deshabilitado si no es necesario en las máquinas host deldispositivo de VMware para evitar el uso compartido de información sin autorización.

El ARP de proxy de IPv4 permite a un sistema enviar respuestas a solicitudes de ARP en una interfaz ennombre de los hosts conectados a otra interfaz. Deshabilite esta opción si no es necesaria para evitarque se filtre información de direccionamiento entre los segmentos de red asociados.

Procedimiento

1 Ejecute el comando # grep [01] /proc/sys/net/ipv4/conf/*/proxy_arp|egrep "default|all" en las máquinas host del dispositivo virtual de VMware para comprobar que el ARP de proxy deIPv4 está deshabilitado.

Si el ARP de proxy de IPv6 está deshabilitado en las máquinas host, este comando devolverá 0.

/proc/sys/net/ipv4/conf/all/proxy_arp:0

/proc/sys/net/ipv4/conf/default/proxy_arp:0

Si las máquinas host están configuradas correctamente, no se necesita ninguna acción adicional.

2 Si necesita configurar el ARP de proxy de IPv6 en las máquinas host, abra elarchivo /etc/sysctl.conf en un editor de texto.

3 Compruebe si existen las siguientes entradas.

net.ipv4.conf.default.proxy_arp=0

net.ipv4.conf.all.proxy_arp=0

Si las entradas no existen o si sus valores no son 0, agréguelas o actualice las entradas existentessegún corresponda.

4 Guarde cualquier cambio que haya realizado y cierre el archivo.

Denegar mensajes de redirección de ICMP IPv4Como procedimiento de seguridad recomendado, compruebe que las máquinas host del dispositivovirtual de VMware deniegan los mensajes de redirección de ICMP IPv4.

Los enrutadores utilizan mensajes de redirección de ICMP para indicar a los hosts que existe una rutamás directa a un destino. Un mensaje de redirección de ICMP malintencionado puede facilitar un ataquede tipo "Man in the middle". Estos mensajes modifican la tabla de rutas del host y no están autenticados.Asegúrese de que su sistema esta configurado para omitirlos si no se necesitan por algún otro motivo.


VMware, Inc. 53

Procedimiento

1 Ejecute el comando # grep [01] /proc/sys/net/ipv4/conf/*/accept_redirects|egrep"default|all" en las máquinas host del dispositivo de VMware para confirmar que deniegan losmensajes de redirección de IPv4.

Si las máquinas host están configuradas para denegar las redirecciones de IPv4, este comandodevuelve lo siguiente:

/proc/sys/net/ipv4/conf/all/accept_reidrects:0

/proc/sys/net/ipv4/conf/default/accept_redirects:0

2 Si necesita configurar una máquina host del dispositivo virtual para denegar los mensajes deredirección de IPv4, abra el archivo /etc/sysctl.conf en un editor de texto.

3 Compruebe los valores de las líneas que comiencen con net.ipv4.conf.

Si los valores de las siguientes entradas no son 0 o si las entradas no existen, agréguelas al archivoo actualice las entradas existentes según corresponda.

net.ipv4.conf.all.accept_redirects=0

net.ipv4.conf.default.accept_redirects=0

4 Guarde los cambios realizados y cierre el archivo.

Denegar mensajes de redirección de ICMP IPv6Como procedimiento de seguridad recomendado, compruebe que las máquinas host del dispositivovirtual de VMware denieguen los mensajes de redirección de ICMP IPv6.

Los enrutadores utilizan mensajes de redirección de ICMP para indicar a los hosts que existe una rutamás directa a un destino. Un mensaje de redirección de ICMP malintencionado puede facilitar un ataquede tipo "Man in the middle". Estos mensajes modifican la tabla de rutas del host y no están autenticados.Asegúrese de que el sistema esté configurado para omitirlos si no se necesitan por algún otro motivo.

Procedimiento

1 Ejecute el comando # grep [01] /proc/sys/net/ipv6/conf/*/accept_redirects|egrep"default|all" en las máquinas host del dispositivo virtual de VMware para confirmar quedeniegan los mensajes de redirección de IPv6.

Si las máquinas host están configuradas para denegar las redirecciones de IPv6, este comandodevuelve lo siguiente:

/proc/sys/net/ipv6/conf/all/accept_redirects:0

/proc/sys/net/ipv6/conf/default/accept_redirects:0

2 Para configurar una máquina host del dispositivo virtual para que se denieguen mensajes deredirección de IPv4, abra el archivo /etc/sysctl.conf en un editor de texto.


VMware, Inc. 54


Si los valores de las siguientes entradas no son 0 o si las entradas no existen, agréguelas al archivoo actualice las entradas existentes según corresponda.




Registrar paquetes de datos con marcadores sospechosos IPv4Como procedimiento de seguridad recomendado, compruebe que las máquinas host del dispositivovirtual de VMware registren paquetes de datos con marcadores sospechosos IPv4.

Los paquetes de datos con marcadores sospechosos contienen direcciones que el sistema sabe que noson válidas. Configure las máquinas host para registrar estos mensajes, de modo que pueda identificarconfiguraciones incorrectas o ataques en curso.

Procedimiento

1 Ejecute el comando # grep [01] /proc/sys/net/ipv4/conf/*/log_martians|egrep"default|all" en las máquinas host del dispositivo de VMware para comprobar que registranpaquetes de datos con marcadores sospechosos IPv4.

Si las máquinas virtuales están configuradas para registrar paquetes de datos con marcadoressospechosos, devuelven lo siguiente:

/proc/sys/net/ipv4/conf/all/log_martians:1

/proc/sys/net/ipv4/default/log_martians:1


2 Si necesita configurar máquinas virtuales para que registren paquetes de datos con marcadoressospechosos IPv4, abra el archivo /etc/sysctl.conf en un editor de texto.

3 Compruebe los valores de las líneas que comienzan con net.ipv4.conf.

Si el valor de las siguientes entradas no es igual a 1 o si las entradas no existen, agréguelas alarchivo o actualice las entradas existentes según corresponda.

net.ipv4.conf.all.log_martians=1

net.ipv4.conf.default.log_martians=1


Utilizar el filtrado de rutas inversas IPv4Como procedimiento de seguridad recomendado, compruebe que las máquinas host del dispositivovirtual de VMware utilicen el filtrado de rutas inversas IPv4.


VMware, Inc. 55

El filtrado de rutas inversas protege contra las direcciones de origen suplantado haciendo que el sistemadescarte los paquetes con direcciones de origen que no tengan una ruta o que tengan una que noapunte a la interfaz de origen. Configure las máquinas host de manera que utilicen el filtrado de rutasinversas siempre que sea posible. En algunos casos, según la función del sistema, el filtrado de rutasinversas puede hacer que el sistema descarte tráfico legítimo. Si encuentra problemas como este, esposible que deba utilizar un modo más permisivo o deshabilitar por completo el filtrado de rutas inversas.

Procedimiento

1 Ejecute el comando # grep [01] /proc/sys/net/ipv4/conf/*/rp_filter|egrep "default|all" en las máquinas host del dispositivo virtual de VMware para asegurarse de que utilicen elfiltrado de rutas inversas IPv4.

Si las máquinas virtuales utilizan el filtrado de rutas inversas IPv4, el comando devuelve lo siguiente:

/proc/sys/net/ipv4/conf/all/rp_filter:1

/proc/sys/net/ipv4/conf/default/re_filter:1

Si las máquinas virtuales se configuran correctamente, no se necesita ninguna acción adicional.

2 Si necesita configurar el filtrado de rutas inversas IPv4 en las máquinas host, abra elarchivo /etc/sysctl.conf en un editor de texto.


Si los valores de las siguientes entradas no se establecen como 1 o si no existen, agréguelas alarchivo o actualice las entradas existentes según corresponda.

net.ipv4.conf.all.rp_filter=1

net.ipv4.conf.default.rp_filter=1


Denegar reenvío de IPv4Compruebe que las máquinas host del dispositivo de VMware deniegan el reenvío de IPv4.

Si el sistema está configurado para el reenvío de IP y no es un enrutador designado, los atacantespodrían utilizarlo para sortear la seguridad de red proporcionando una ruta de acceso para comunicaciónno filtrada por dispositivos de red. Para evitar el riesgo, configure las máquinas host del dispositivo virtualpara que denieguen el reenvío de IPv4.

Procedimiento

1 Ejecute el comando # cat /proc/sys/net/ipv4/ip_forward en las máquinas host del dispositivode VMware para confirmar que deniegan el reenvío de IPv4.

Si las máquinas host están configuradas para denegar el reenvío de IPv4, este comando devolverá 0para /proc/sys/net/ipv4/ip_forward. Si las máquinas virtuales están configuradascorrectamente, no se necesita ninguna otra acción.


VMware, Inc. 56

2 Si desea configurar una máquina host del dispositivo virtual para que deniegue el reenvío de IPv4,abra el archivo /etc/sysctl.conf en un editor de texto.

3 Busque la entrada que rece net.ipv4.ip_forward=0. Si el valor para esta entrada no es 0actualmente o si la entrada no existe, agréguela o actualice la entrada existente según corresponda.

4 Guarde todos los cambios y cierre el archivo.

Denegar el reenvío de IPv6Como procedimiento de seguridad recomendado, compruebe que los sistemas host del dispositivo deVMware denieguen el reenvío de IPv6.

Si el sistema está configurado para el reenvío de IP y no es un enrutador designado, los atacantespodrían utilizarlo para sortear la seguridad de red proporcionando una ruta de acceso para comunicaciónno filtrada por dispositivos de red. Configure las máquinas host del dispositivo virtual para que denieguenel reenvío de IPv6 para no correr este riesgo.

Procedimiento

1 Ejecute el comando # grep [01] /proc/sys/net/ipv6/conf/*/forwarding|egrep "default|all" en las máquinas host del dispositivo de VMware para comprobar que deniegan el reenvío deIPv6.

Si las máquinas host están configuradas para denegar el reenvío de IPv6, este comando devolverálo siguiente:

/proc/sys/net/ipv6/conf/all/forwarding:0

/proc/sys/net/ipv6/conf/default/forwarding:0


2 Si necesita configurar una máquina host para que deniegue el reenvío de IPv6, abra elarchivo /etc/sysctl.conf en un editor de texto.


Si los valores de las siguientes entradas no son 0 o si las entradas no existen, agréguelas o actualicelas entradas existentes según corresponda.




Usar cookies SYN de TCP IPv4Compruebe que las máquinas host del dispositivo VMware utilizan cookies SYN de TCP IPv4.


VMware, Inc. 57

Un ataque "flood" SYN de TCP podría provocar una denegación de servicio al rellenar la tabla deconexiones TCP de un sistema con conexiones con el estado SYN_RCVD. Las cookies SYN impidenque se realice el seguimiento de una conexión hasta que se reciba un ACK posterior que comprueba queel iniciador está intentando una conexión válida y no es un origen "flood". Esta técnica no funciona deuna manera totalmente conforme con los estándares, pero solo se activa durante una condición "flood" ypermite defender el sistema mientras continúa dando servicio a las solicitudes de servicio válidas.

Procedimiento

1 Ejecute el comando # cat /proc/sys/net/ipv4/tcp_syncookies en las máquinas host deldispositivo de VMware para comprobar que utilizan cookies SYN de TCP IPv4.

Si las máquinas host se configuran para denegar el reenvío de IPv4, este comando devolverá 1para /proc/sys/net/ipv4/tcp_syncookies. Si las máquinas virtuales están configuradascorrectamente, no se necesita ninguna otra acción.

2 Si necesita configurar un dispositivo virtual para utilizar cookies SYN de TCP IPv4, abra elarchivo /etc/sysctl.conf en un editor de texto.

3 Busque la entrada que rece net.ipv4.tcp_syncookies=1.

Si el valor para esta entrada no está establecido actualmente en 1, o bien si no existe, agregue laentrada o actualice la entrada existente según corresponda.


Denegar anuncios de enrutador IPv6Compruebe que las máquinas host de VMware denieguen la aceptación de anuncios de enrutador yredirecciones de ICMP, a menos que sean necesarios para el funcionamiento del sistema.

IPv6 permite a los sistemas configurar sus dispositivos de red mediante el uso automático de informaciónde la red. Desde una perspectiva de seguridad, es preferible definir manualmente la información deconfiguración importante a aceptarla desde la red de una forma no autenticada.

Procedimiento

1 Ejecute el comando # grep [01] /proc/sys/net/ipv6/conf/*/accept_ra|egrep "default|all" en las máquinas host del dispositivo de VMware para comprobar que deniegan los anuncios deenrutador.

Si las máquinas host están configuradas para denegar anuncios de enrutador IPv6, este comandodevolverá 0:

/proc/sys/net/ipv6/conf/all/accept_ra:0

/proc/sys/net/ipv6/conf/default/accept_ra:0


2 Si necesita configurar una máquina host para que deniegue anuncios de enrutador IPv6, abra elarchivo /etc/sysctl.conf en un editor de texto.


VMware, Inc. 58


net.ipv6.conf.all.accept_ra=0

net.ipv6.conf.default.accept_ra=0

Si no existen estas entradas o sus valores no son 0, agregue las entradas o actualice las existentessegún corresponda.


Denegar solicitudes de enrutador IPv6Como procedimiento de seguridad recomendado, compruebe que las máquinas host del dispositivo deVMware deniegan solicitudes de enrutador IPv6, a menos se requieran para el funcionamiento delsistema.

La configuración de solicitudes de enrutador determina cuántas solicitudes de enrutador se envían alacceder a la interfaz. Si las direcciones se asignan de forma estática, no es necesario enviar ningunasolicitud.

Procedimiento

1 Ejecute el comando # grep [01] /proc/sys/net/ipv6/conf/*/router_solicitations|egrep"default|all" en las máquinas host del dispositivo de VMware para comprobar que deniegan lassolicitudes de enrutador IPv6.

Si las máquinas host están configuradas para denegar anuncios de enrutador IPv6, este comandodevolverá lo siguiente:

/proc/sys/net/ipv6/conf/all/router_solicitations:0

/proc/sys/net/ipv6/conf/default/router_solicitations:0


2 Si necesita configurar máquinas host para denegar solicitudes de enrutador IPv6, abra elarchivo /etc/sysctl.conf en un editor de texto.


net.ipv6.conf.all.router_solicitations=0

net.ipv6.conf.default.router_solicitations=0




VMware, Inc. 59

Denegar la preferencia de enrutador IPv6 en solicitudes deenrutadorCompruebe que las máquinas host del dispositivo de VMware denieguen las solicitudes de enrutadorIPv6, a menos que sean necesarias para el funcionamiento del sistema.

La opción de preferencia de enrutador en las solicitudes determina las preferencias de enrutador. Si lasdirecciones se asignan de forma estática, no es necesario recibir ninguna preferencia de enrutador paralas solicitudes.

Procedimiento

1 Ejecute el comando # grep [01] /proc/sys/net/ipv6/conf/*/accept_ra_rtr_pref|egrep"default|all" en las máquinas host del dispositivo de VMware para comprobar que deniegan lassolicitudes de enrutador IPv6.

Si las máquinas host están configuradas para denegar anuncios de enrutador IPv6, este comandodevolverá lo siguiente:

/proc/sys/net/ipv6/conf/all/accept_ra_rtr_pref:0

/proc/sys/net/ipv6/conf/default/accept_ra_rtr_pref:0


2 Si necesita configurar las máquinas host para que denieguen solicitudes de enrutamiento de IPv6,abra el archivo /etc/sysctl.conf en un editor de texto.


net.ipv6.conf.all.accept_ra_rtr_pref=0

net.ipv6.conf.default.accept_ra_rtr_pref=0



Denegar prefijos de enrutador IPv6Compruebe que las máquinas host del dispositivo de VMware denieguen la información de prefijos deenrutador IPv6, a menos que sea necesaria para el funcionamiento del sistema.

La opción accept_ra_pinfo determina si el sistema acepta información de prefijos procedente delenrutador. Si las direcciones se asignan de forma estática, no es necesario recibir ninguna informaciónde prefijos de enrutador.


VMware, Inc. 60

Procedimiento

1 Ejecute el comando # grep [01] /proc/sys/net/ipv6/conf/*/accept_ra_pinfo|egrep"default|all" en las máquinas host del dispositivo de VMware para comprobar que deniegan lainformación de prefijos de enrutador IPv6.

Si las máquinas host están configuradas para denegar anuncios de enrutador IPv6, este comandodevolverá lo siguiente.

/proc/sys/net/ipv6/conf/all/accept_ra_pinfo:0

/proc/sys/net/ipv6/conf/default/accept_ra_pinfo:0


2 Si necesita configurar las máquinas host para que denieguen la información de prefijos de enrutadorIPv6, abra el archivo /etc/sysctl.conf en un editor de texto.


net.ipv6.conf.all.accept_ra_pinfo=0

net.ipv6.conf.default.accept_ra_pinfo=0



Denegar opciones de límite de saltos de anuncio de enrutadorIPv6Compruebe que las máquinas host del dispositivo de VMware denieguen las opciones de límite de saltosde enrutador IPv6, a menos que sean necesarias.

La opción accept_ra_defrtr determina si el sistema aceptará las opciones de límite de saltos de unanuncio de enrutador. Si se establece como 0, evita que un enrutador cambie el límite de saltos de IPv6predeterminado para los paquetes salientes.

Procedimiento

1 Ejecute el comando # grep [01] /proc/sys/net/ipv6/conf/*/accept_ra_defrtr|egrep"default|all" en las máquinas host del dispositivo de VMware para comprobar que deniegan lasopciones de límite de saltos de enrutador IPv6.

Si las máquinas host están configuradas para denegar las opciones de límite de saltos de enrutadorIPv6, este comando devolverá 0.

/proc/sys/net/ipv6/conf/all/accept_ra_defrtr:0

/proc/sys/net/ipv6/conf/default/accept_ra_defrtr:0



VMware, Inc. 61

2 Si necesita configurar una máquina host para que deniegue las opciones de límite de saltos deenrutador IPv6, abra el archivo /etc/sysctl.conf en un editor de texto.


net.ipv6.conf.all.autoconf=0

net.ipv6.conf.default.autoconf=0



Denegar opciones de configuración automática de anuncios deenrutador IPv6Compruebe que las máquinas host del dispositivo de VMware denieguen las opciones de configuraciónautomática de enrutador IPv6, a menos que sean necesarias.

La opción autoconf determina si los anuncios de enrutador pueden hacer que el sistema asigne unadirección de unidifusión global a una interfaz.

Procedimiento

1 Ejecute el comando # grep [01] /proc/sys/net/ipv6/conf/*/autoconf|egrep "default|all" en las máquinas host del dispositivo de VMware para comprobar que deniegan las opciones deconfiguración automática de enrutador IPv6.

Si las máquinas host están configuradas para denegar las opciones de configuración automática deenrutador IPv6, este comando devolverá 0.

/proc/sys/net/ipv6/conf/all/autoconf:0

/proc/sys/net/ipv6/conf/default/autoconf:0


2 Si necesita configurar una máquina host para que deniegue las opciones de configuraciónautomática de enrutador IPv6, abra el archivo /etc/sysctl.conf en un editor de texto.


net.ipv6.conf.all.autoconf=0

net.ipv6.conf.default.autoconf=0




VMware, Inc. 62

Denegar solicitudes de vecino de IPv6Compruebe que las máquinas host del dispositivo de VMware estén configuradas para denegarsolicitudes de vecino de IPv6, a menos que sean necesarias.

La configuración de dad_transmits determina cuántas solicitudes de vecino se deben enviar pordirección (globales y locales de vínculo) al acceder a una interfaz para garantizar que la direccióndeseada sea única en la red.

Procedimiento

1 Ejecute el comando # grep [01] /proc/sys/net/ipv6/conf/*/dad_transmits|egrep"default|all" en las máquinas host del dispositivo de VMware para confirmar que denieguen lassolicitudes de vecino de IPv6.

Si las máquinas host están configuradas para denegar solicitudes de vecino de IPv6, este comandodevolverá 0.

/proc/sys/net/ipv6/conf/all/dad_transmits:0

/proc/sys/net/ipv6/conf/default/dad_transmits:0


2 Si necesita configurar una máquina host para que deniegue solicitudes de vecino de IPv6, abra elarchivo /etc/sysctl.conf en un editor de texto.


net.ipv6.conf.all.dad_transmits=0

net.ipv6.conf.default.dad_transmits=0



Restringir la cantidad máxima de direcciones IPv6Compruebe las máquinas host del dispositivo de VMware para restringir la configuración de la cantidadmáxima de direcciones IPv6 al valor mínimo necesario para el funcionamiento del sistema.

La configuración de la cantidad máxima de direcciones determina cuántas direcciones IPv6 deunidifusión globales están disponibles para cada interfaz. El valor predeterminado es 16, pero debeestablecerlo como la cantidad exacta de direcciones globales configuradas de manera estática que seannecesarias para el sistema.


VMware, Inc. 63

Procedimiento

1 Ejecute el comando # grep [1] /proc/sys/net/ipv6/conf/*/max_addresses|egrep"default|all" en las máquinas host del dispositivo de VMware para comprobar que la cantidadmáxima de direcciones IPv6 se restrinja correctamente.

Si se configuran las máquinas host para restringir la cantidad máxima de direcciones IPv6, estecomando devolverá valores iguales a 1.

/proc/sys/net/ipv6/conf/all/max_addresses:1

/proc/sys/net/ipv6/conf/default/max_addresses:1


2 Si necesita configurar la cantidad máxima de direcciones IPv6 en máquinas host, abra elarchivo /etc/sysctl.conf en un editor de texto.


net.ipv6.conf.all.max_addresses=1

net.ipv6.conf.default.max_addresses=1

Si las entradas no existen o si sus valores no se establecen como 1, añada entradas o actualice lasentradas existentes según corresponda.


Configurar ajustes de red para el host de infraestructuracomo servicioComo procedimiento de seguridad recomendado, configure los ajustes de comunicación de red en lamáquina host del componente de infraestructura como servicio (IaaS) de VMware según los requisitos ylas directrices de VMware.

Configure la red de la máquina host de infraestructura como servicio (IaaS) para admitir todas lasfunciones de vRealize Automation con la seguridad apropiada.

Consulte Proteger el componente de infraestructura como servicio.

Configurar puertos y protocolosComo procedimiento de seguridad recomendado, configure los puertos y los protocolos de todos losdispositivos y componentes de vRealize Automation siguiendo las directrices de VMware.

Configure los puertos entrantes y salientes de los componentes de vRealize Automation según lo que serequiere para que los componentes críticos del sistema funcionen en producción. Deshabilite todos losprotocolos y los puertos innecesarios. Consulte Arquitectura de referencia de vRealize Automation.


VMware, Inc. 64

Puertos de usuario necesariosComo procedimiento de seguridad recomendado, configure los puertos de usuario devRealize Automation según las directrices de VMware.

Exponga los puertos necesarios solo en una red segura.

SERVIDOR PUERTOS

Dispositivo de vRealize Automation 443, 8443

Puertos de administrador necesariosComo procedimiento de seguridad recomendado, configure los puertos de administrador devRealize Automation según las directrices de VMware.

Exponga los puertos necesarios solo en una red segura.

SERVIDOR PUERTOS

Servidor de vRealize Application Services 5480

Puertos de dispositivo de vRealize AutomationComo procedimiento recomendado de seguridad, configure los puertos entrantes y salientes deDispositivo de vRealize Automation según las recomendaciones de VMware.

Puertos entrantes

Configure el número mínimo de puertos entrantes necesarios para Dispositivo de vRealize Automation.Configure puertos opcionales si son necesarios para la configuración de su sistema.

Tabla 8‑1. Cantidad mínima de puertos entrantes necesaria

PUERTO PROTOCOLO COMENTARIOS

443 TCP Acceso a la consola de vRealize Automation y a las llamadas deAPI.

8443 TCP Proxy de la consola (VMRC).

5480 TCP Acceso a la consola de administración web del dispositivo virtual.

5488, 5489 TCP Interno. Utilizado por Dispositivo de vRealize Automation para lasactualizaciones.

5672 TCP Mensajes de RabbitMQ.

NOTA: Cuando agrupa instancias de Dispositivo de vRealizeAutomation en clústeres, es posible que deba configurar los puertosabiertos 4369 y 25672.

40002 TCP Necesario para el servicio de vIDM. Protegido por un firewall contratodo el tráfico externo a excepción del tráfico procedente de otrosnodos de Dispositivo de vRealize Automation cuando se agrega enla configuración de HA.


VMware, Inc. 65

Si es necesario, configure puertos entrantes opcionales.

Tabla 8‑2. Puertos entrantes opcionales


22 TCP (Opcional) SSH. En un entorno de producción, deshabilite elservicio SSH que escucha en el puerto 22 y cierre el puerto 22.

80 TCP (Opcional) Redirige a 443.

Puertos salientes

Configure los puertos salientes necesarios.

Tabla 8‑3. Cantidad mínima de puertos salientes


25, 587 TCP, UDP SMTP para enviar correos electrónicos de notificación salientes.

53 TCP, UDP DNS.

67, 68, 546, 547 TCP, UDP DHCP.

110, 995 TCP, UDP POP para recibir correos electrónicos de notificación entrantes.

143, 993 TCP, UDP IMAP para recibir correos electrónicos de notificación entrantes.

443 TCP Manager Service de infraestructura como servicio en HTTPS.

Si es necesario, configure puertos salientes opcionales.

Tabla 8‑4. Puertos salientes opcionales


80 TCP (Opcional) Para obtener actualizaciones de software. Puededescargar y aplicar las actualizaciones por separado.

123 TCP, UDP (Opcional) Para conectarse directamente a NTP en lugar de usar lahora del host.

Puertos de infraestructura como servicioComo procedimiento de seguridad recomendado, configure los puertos entrantes y salientes de loscomponentes de infraestructura como servicio (Infrastructure as a Service, IaaS) según las directrices deVMware.

Puertos entrantes

Configure la cantidad mínima de puertos entrantes necesaria para los componentes de IaaS.


VMware, Inc. 66

Tabla 8‑5. Cantidad mínima de puertos entrantes necesaria

COMPONENTE PUERTO PROTOCOLO COMENTARIOS

Manager Service 443 TCP Comunicación con los componentes de IaaS y el dispositivo devRealize Automation en HTTPS. Todos los hosts de virtualización queadministren agentes de proxy también deben tener el puerto TCP 443 abiertopara el tráfico entrante.

Puertos salientes

Configure la cantidad mínima de puertos salientes necesaria para los componentes de IaaS.

Tabla 8‑6. Cantidad mínima de puertos salientes

COMPONENTE PUERTOPROTOCOLO COMENTARIOS

Todo 53 TCP, UDP DNS.

Todo TCP, UDP DHCP.

Manager Service 443 TCP Comunicación con el dispositivo de vRealize Automation en HTTPS.

Sitio web 443 TCP Comunicación con Manager Service sobre HTTPS.

DistributedExecutionManagers

443 TCP Comunicación con Manager Service sobre HTTPS.

Agentes de proxy 443 TCP Comunicación con Manager Service y con los hosts de virtualización sobreHTTPS.

Agente invitado 443 TCP Comunicación con Manager Service sobre HTTPS.

Manager Service,sitio web

1433 TCP MSSQL.

Si es necesario, configure puertos salientes opcionales.

Tabla 8‑7. Puertos salientes opcionales

COMPONENTE PUERTO PROTOCOLO COMENTARIOS

Todo 123 TCP, UDP NTP es opcional.


VMware, Inc. 67

Auditoría y registro 9Como procedimiento de seguridad recomendado, configure la auditoría y el registro en el sistema devRealize Automation de acuerdo con las recomendaciones de VMware.

El registro remoto en un host de log central proporciona un almacén seguro para los archivos de log.Mediante la recopilación de archivos de log en un host central, puede supervisar el entorno con una solaherramienta. Además, puede realizar análisis agregados y buscar evidencias de amenazas, comoataques coordinados a varias entidades en la infraestructura. El inicio de sesión en un servidor de logcentralizado y seguro puede ayudar a prevenir la adulteración de logs, además de proporcionar unregistro de auditoría a largo plazo.

Garantizar la seguridad del servidor de registro remotoA menudo, después de que los atacantes vulneran la seguridad de la máquina host, intentan buscar ymanipular los archivos de log para borrar su rastro y mantener el control sin ser descubiertos. Laprotección correcta del servidor de registro remoto permite impedir que se adulteren los logs.

Utilizar un servidor NTP autorizadoAsegúrese de que todas las máquinas host usen el mismo origen de hora relativo, incluido el desfase delocalización correspondiente, y que puedan relacionar el origen de hora relativo con un tiempo acordadoestándar, como la hora universal coordinada (UTC). Un enfoque disciplinado en los orígenes de hora lepermite realizar un seguimiento de las acciones de un intruso y relacionarlas de forma rápida al revisarlos archivos de log pertinentes. Una configuración incorrecta de la hora puede dificultar la inspección y lacorrelación de los archivos de log a fin de detectar ataques; también puede hacer imprecisas lasauditorías.

Utilice al menos tres servidores NTP de orígenes de hora externos, o bien configure algunos servidoresNTP locales en una red de confianza que, a su vez, obtenga la hora de al menos tres orígenes de horaexternos.

VMware, Inc. 68

3 de mayo de 2018 vRealize Automation 7 - docs.vmware.com · 3 de mayo de 2018 vRealize Automation...

Documents

Transcript of 3 de mayo de 2018 vRealize Automation 7 - docs.vmware.com · 3 de mayo de 2018 vRealize Automation...